Mailserver-Hammer

Mailserver-Hammer

Ich habe einen schnellen Anstieg der SMTP-Verbindungen zu meinem Server bemerkt. Bei näherer Untersuchung stellte ich fest, dass mein SMTP-Server von einem Botnetz angegriffen wird. Ich habe versucht, dies zu stoppen, indem ich eine Regel bei iptables hinzugefügt habe:

-N SMTP-BLOCK -A SMTP-BLOCK -m Limit --Limit 1/m --Limit-Burst 3 -j LOG --Log-Level-Hinweis --Log-Präfix „iptables SMTP-BLOCK“ -A SMTP-BLOCK -m aktuell --Name SMTPBLOCK --Set -j DROP -A INPUT -p TCP --Dport 25 -m Status --Status NEU -m aktuell --Name SMTPBLOCK --rcheck --Sekunden 360 -j SMTP-BLOCK -A INPUT -p TCP --Dport 25 -m Status --Status NEU -m aktuell --Name SMTP --Set -A INPUT -p TCP --Dport 25 -m Status --Status NEU -m aktuell --Name SMTP --rcheck --Sekunden 60 --Hitcount 3 -j SMTP-BLOCK -A INPUT -p TCP --Dport 25 -m Status --state NEU -j AKZEPTIEREN

Das würde verhindern, dass sie „zu schnell“ hämmern, aber das Problem besteht immer noch, es gibt ungefähr 5 Versuche pro Sekunde, es wird verrückt, ich musste die maximale Anzahl der untergeordneten Elemente von Sendmail/Dovecot erhöhen. Es gibt zu viele IPs, um sie manuell herauszufiltern, und das einfache Ändern des SMTP auf einen anderen Port ist nicht praktikabel, da ich viele andere Clients auf diesem Server habe.

Ich verwende Sendmail mit Dovecot. Gibt es Ideen, wie man dies effizienter herausfiltern kann?

Antwort1

Ich würde dazu neigen, sicherzustellen, dass Sie über Backup-MX-Hosts verfügen, die an Bord sind; dann den Zugriff auf Ihren Port 25 von allen Rechnern außer Ihren Backup-MX-Hosts zu blockieren. Eingehende legitime E-Mails werden an den Backup-MX-Host zugestellt, der sie Ihnen zustellen kann; eingehende E-Mails, die nicht für Ihr System bestimmt sind und von einem zweifelsfrei funktionierenden Host stammen, werden jedoch nirgendwohin geleitet.

(Der „Backup-MX-Host“ könnte sogar eine andere Maschine von Ihnen oder sogar eine VPS-/Cloud-Maschine sein, die Sie stundenweise für ein paar Tage mieten.)

Lassen Sie sich nicht auf ein Wettrüsten mit einem Botnetz ein – es kann den Datenverkehr schneller erhöhen, als Sie Bandbreite und Server hinzufügen können.

Es klingt, als ob Sie viele Clients/Domänen auf einem Rechner haben, was mehr Arbeit bedeutet. Tut mir leid.

Sie könnten in Erwägung ziehen, zu einer neuen IP-Adresse zu wechseln und/oder den A-Eintrag für den angegriffenen Host in 127.0.0.1 zu ändern und einen neuen Namen für den Server zu finden – es besteht eine gewisse Chance, dass die Spammer sich ein anderes Opfer suchen und Ihren neuen Hostnamen/Ihre neue IP-Adresse unverändert lassen.

verwandte Informationen