私はボットネットから攻撃を受けているのですが、mailer-daemonからデバイスに空き容量がないことを知らせるメールが届いたので、そのことに気付きました。mail.logは次のようなメッセージでいっぱいでした。
Dec 5 01:56:14 ip-xxx-xxx-xxx postfix/smtpd[9634]: NOQUEUE: reject: RCPT from xxx-xxx-xxx-xxx.dynamic.hinet.net[xxx.xxx.xxx.xxx]: 554 5.7.1 <[email protected]>: Relay access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<xxx.xxx.xxx.xxx>
私はボットネット キラー スクリプトを作成しました。このスクリプトは、iptables を使用して、IP アドレスが多すぎるネットワーク範囲が私のサーバー経由でメッセージを送信しようとするのを禁止し、ログ ファイルに上記のメッセージを生成します。
これで正当なトラフィックが殺されるのは確実です。このトラフィックを次のようにする必要があると判断しました。
S0 - standard traffic - <1 mail per minute
S1 - increased traffic - 1+ mail per minute
S2 - suspicious traffic - 10+ mails per minute
S3 - potentially unwanted traffic - 1+ mails per second
S4 - attack - 5+ mails per second
...以下のように処理されます。
S0: No action
S1: Log
S2: Log&MailReport (to postmaster@localhost)
S3: Log&MailReport&AutoBounce (solve capcha at http://myhost.tld/anti-spam )
S4: Log&MailReport&AutoBounce (you were temporarily blocked by the mailserver)
S5: Log&MailReport&AutoBounce&AutoAbuseReport (User [email protected] is abusing our server)
postfix を使用してこれを実現する方法はありますか? そうでない場合、これに適したメールサーバーはありますか?
ありがとう
編集:人々が混乱してオープンリレーだと思ったので、この質問を完全に書き直しました。
答え1
実際には、これはインターネットに面したメール サーバーを運用する上での当然のことです。私は社内メールとしてオンプレミスで 1 台運用していますが、数秒ごとにスパム メールが大量に届きます。実際に実行できる唯一の方法は、logrotateログが制御不能に増大しないように実装して防止することです。履歴上の理由でログが必要な場合は、gzip90% 以上圧縮できます。
これをご覧になりたい方は、これハウツー情報が満載の記事。