メールサーバーの攻撃

メールサーバーの攻撃

私のサーバーへの SMTP 接続が急増していることに気づきました。さらに調査したところ、ボットネットが私の SMTP サーバーを攻撃していることがわかりました。iptables にルールを追加して、これを阻止しようとしました。

-N SMTP-BLOCK -A SMTP-BLOCK -m limit --limit 1/m --limit-burst 3 -j LOG --log-level notice --log-prefix "iptables SMTP-BLOCK " -A SMTP-BLOCK -m recent --name SMTPBLOCK --set -j DROP -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name SMTPBLOCK --rcheck --seconds 360 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name SMTP --set -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name SMTP --rcheck --seconds 60 --hitcount 3 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT

そうすれば、攻撃者が「速すぎる」攻撃をすることは避けられますが、それでも問題は残ります。1 秒あたり 5 回ほど試行され、異常な状態になっています。そのため、sendmail/dovecot の子の最大数を増やす必要がありました。手動でフィルタリングする IP が多すぎます。また、そのサーバーには他にも多くのクライアントがあるため、単に SMTP を別のポートに変更するだけでは実用的ではありません。

dovecot で sendmail を使用していますが、これをより効率的にフィルタリングするアイデアはありますか?

答え1

私の考えとしては、参加しているバックアップ MX ホストがあることを確認し、バックアップ MX ホスト以外のすべてのマシンからポート 25 へのアクセスをブロックすることです。受信する正当なメールはバックアップ MX ホストに配信され、そこから配信されますが、自分のシステム宛ではなく、既知の正常なホストから来た受信メールはどこにも届きません。

(「バックアップ MX ホスト」は、別のマシンでも、数日間時間単位でレンタルする VPS/クラウド マシンでもかまいません。)

ボットネットとの軍拡競争に巻き込まれないでください。帯域幅やサーバーを追加するよりも速くトラフィックが追加される可能性があります。

1 台のマシンに多数のクライアント/ドメインがあり、作業量が増えているようです。申し訳ありません。

新しい IP アドレスに移動するか、攻撃を受けているホストの A レコードを 127.0.0.1 に変更してサーバーの新しい名前を見つけることを検討してください。スパマーが別の被害者に移り、新しいホスト名/IP アドレスをそのままにしておく可能性は十分にあります。

関連情報