web-dev-qa-db-ja.com

メールサーバーのハンマー

サーバーに接続するSMTP接続が急速に増加していることに気づきました。さらに調査したところ、SMTPサーバーを攻撃しているボットネットがあることがわかりました。 iptablesにルールを追加して停止しようとしました:

-N SMTP-BLOCK -A SMTP-BLOCK -m limit --limit 1/m --limit-burst 3 -j LOG --log-level notify --log-prefix "iptables SMTP-BLOCK" -A SMTP-BLOCK -m最近の--nameSMTPBLOCK --set -j DROP -A INPUT -p tcp --dport 25 -m state --state NEW-m最近の--nameSMTPBLOCK --rcheck --seconds 360 -j SMTP-BLOCK-入力-ptcp --dport 25 -m state --state NEW -m latest --name SMTP --set -A INPUT -p tcp --dport 25 -m state --state NEW -m latest --name SMTP --rcheck --seconds 60 --hitcount 3 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT

それは彼らが「速すぎる」打撃を避けるでしょう、しかし問題はそれでも、毎秒5回の試行があり、それは狂気になります、私はsendmail/dovecotの子の最大数を増やす必要がありました。 ipが多すぎて手動で除外できず、そのサーバーに他の多くのクライアントがあるため、SMTPを別のポートに変更するだけでは実用的ではありません。

私はdovecotでsendmailを使用していますが、これをより効率的に除外するためのアイデアはありますか?

3
Rodrigo

私の傾向は、バックアップMXホストが搭載されていることを確認することです。次に、バックアップMXホスト以外のすべてのマシンからポート25へのアクセスをブロックします。正当な受信メールがバックアップMXホストに配信され、バックアップMXホストがそれを配信できるようになります。ただし、システム宛てではなく、正常なホストから送信された受信メールはどこにも送信されません。

(「バックアップMXホスト」は、別のマシンでも、数日間1時間単位でレンタルするVPS /クラウドマシンでもかまいません。)

ボットネットで軍拡競争に巻き込まれないでください。帯域幅やサーバーを追加するよりも速くトラフィックを追加できます。

1台のマシンに多数のクライアント/ドメインがあるようです。これにより、作業量が増えます。ごめんなさい。

新しいIPアドレスに移動するか、攻撃を受けているホストのAレコードを127.0.0.1に変更して、サーバーの新しい名前を見つけることを検討してください。スパマーが別の被害者に移動して、新しいものを残す可能性は十分にあります。ホスト名/ IPアドレスのみ。

3
gbroiles