alguns dias atrás eu configurei um VPS, incluindo o serviço SMTP pessoal usando o postfix + procmail em Debian / Wheezy.
Eu já estou vendo MUITOS martelos no SMTP e em outras portas. Aqui está um trecho:
Jul 31 09:06:25 [myserver] postfix/smtpd[15372]: warning: mail.thethirdroom.org[81.137.228.117]: SASL LOGIN authentication failed: authentication failure Jul 31 10:00:02 [myserver] postfix/smtpd[20616]: warning: host245-192-static.36-88-b.business.telecomitalia.it[88.36.192.245]: SASL LOGIN authentication failed: authentication failure
Existem várias tentativas de login por segundo. Agora, eu estou executando o sshguard para impedir que as pessoas executem o bruteforcing lá (exceto se fosse uma tentativa distribuída), mas o postfix ainda é um pouco vulnerável, já que o sshguard não suporta isso.
Alguém pode me sugerir como tornar essa coisa mais segura?
Muito obrigado!
TL; DR: servidor SMTP sendo atacado, gostaria de banir IPs após n tentativas falhas.
Confira esta ferramenta Fail2Ban , verifica arquivos de log em busca de atividades maliciosas e dispara um evento. Existem manipuladores de eventos engarrafados, como criar um firewall para rejeitar o IP ofensivo, ou você pode criar seus próprios manipuladores de eventos personalizados.
Se você está certo em corrigir e recompilar o sshguard, eu escrevi um patch para adicionar a detecção de Postfix SASL. Você pode obtê-lo aqui:
Este patch é bastante simples - ele estende o analisador de arquivos de log do sshguard para detectar as mensagens de falha do SASL do formato que você descreve. Assim, os logins SASL com falha levarão a proibições de endereço IP, assim como tudo o que o sshguard captura.