저는 봇넷의 공격을 받고 있는데 메일러 데몬으로부터 장치에 남은 공간이 없다고 알려주는 이메일을 받았기 때문에 그 사실을 알게 되었습니다. mail.log는 다음과 같은 메시지로 가득 차 있었습니다.
Dec 5 01:56:14 ip-xxx-xxx-xxx postfix/smtpd[9634]: NOQUEUE: reject: RCPT from xxx-xxx-xxx-xxx.dynamic.hinet.net[xxx.xxx.xxx.xxx]: 554 5.7.1 <[email protected]>: Relay access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<xxx.xxx.xxx.xxx>
나는 봇넷 킬러 스크립트를 작성했습니다. 스크립트는 iptables를 사용하여 내 서버를 통해 메시지를 보내려는 IP 주소가 너무 많은 네트워크 범위를 금지하고 위의 메시지를 로그 파일에 생성합니다.
나는 이것이 합법적인 트래픽을 죽일 수 있다고 확신합니다. 나는 이 트래픽이 다음과 같아야 한다고 결정했습니다.
S0 - standard traffic - <1 mail per minute
S1 - increased traffic - 1+ mail per minute
S2 - suspicious traffic - 10+ mails per minute
S3 - potentially unwanted traffic - 1+ mails per second
S4 - attack - 5+ mails per second
...다음과 같이 처리됩니다.
S0: No action
S1: Log
S2: Log&MailReport (to postmaster@localhost)
S3: Log&MailReport&AutoBounce (solve capcha at http://myhost.tld/anti-spam )
S4: Log&MailReport&AutoBounce (you were temporarily blocked by the mailserver)
S5: Log&MailReport&AutoBounce&AutoAbuseReport (User [email protected] is abusing our server)
postfix를 사용하여 이를 수행할 수 있는 방법이 있습니까? 그렇지 않다면 더 나은 메일 서버가 있습니까?
감사합니다
편집하다:사람들이 혼란스러워하고 공개 릴레이라고 생각했기 때문에 이 질문을 완전히 다시 작성했습니다.
답변1
실제로 이는 인터넷에 연결된 메일 서버를 실행하는 특성일 뿐입니다. 저는 회사 메일로 사내 메일을 운영하고 있는데 몇 초마다 스팸 메일을 받게 됩니다. 실제로 할 수 있는 유일한 일은 logrotate로그가 통제할 수 없을 정도로 커지는 것을 구현하고 방지하는 것입니다. 기록상의 이유로 필요한 경우 gzip최대 90% 이상 압축할 수 있습니다.
이 내용을 살펴보고 싶다면 확인해 보세요.이것수많은 방법 정보가 담긴 기사입니다.