Protegendo o postfix de ataques de força bruta

4

alguns dias atrás eu configurei um VPS, incluindo o serviço SMTP pessoal usando o postfix + procmail em Debian / Wheezy.

Eu já estou vendo MUITOS martelos no SMTP e em outras portas. Aqui está um trecho:

Jul 31 09:06:25 [myserver] postfix/smtpd[15372]: warning: mail.thethirdroom.org[81.137.228.117]: SASL LOGIN authentication failed: authentication failure Jul 31 10:00:02 [myserver] postfix/smtpd[20616]: warning: host245-192-static.36-88-b.business.telecomitalia.it[88.36.192.245]: SASL LOGIN authentication failed: authentication failure

Existem várias tentativas de login por segundo. Agora, eu estou executando o sshguard para impedir que as pessoas executem o bruteforcing lá (exceto se fosse uma tentativa distribuída), mas o postfix ainda é um pouco vulnerável, já que o sshguard não suporta isso.

Alguém pode me sugerir como tornar essa coisa mais segura?

Muito obrigado!

TL; DR: servidor SMTP sendo atacado, gostaria de banir IPs após n tentativas falhas.

    
por Laurel Wolf 01.08.2012 / 17:26

2 respostas

5

Confira esta ferramenta Fail2Ban , verifica arquivos de log em busca de atividades maliciosas e dispara um evento. Existem manipuladores de eventos engarrafados, como criar um firewall para rejeitar o IP ofensivo, ou você pode criar seus próprios manipuladores de eventos personalizados.

    
por 01.08.2012 / 17:58
3

Se você está certo em corrigir e recompilar o sshguard, eu escrevi um patch para adicionar a detecção de Postfix SASL. Você pode obtê-lo aqui:

link

Este patch é bastante simples - ele estende o analisador de arquivos de log do sshguard para detectar as mensagens de falha do SASL do formato que você descreve. Assim, os logins SASL com falha levarão a proibições de endereço IP, assim como tudo o que o sshguard captura.

    
por 25.12.2013 / 08:05