메일 서버에 대한 이러한 공격을 피하는 가장 좋은 방법은 무엇입니까?
Mar 22 21:47:46 mail dovecot: imap-login: Disconnected (auth failed, 1 attempts in 9 secs): user=<andree_fontaine@mydomain>, method=PLAIN, rip=60.173.149.237, lip=172.16.16.1, TLS, session=<Ds/cmwpoCwA8rZXt> Mar 22 21:47:52 mail dovecot: imap-login: Disconnected (auth failed, 1 attempts in 9 secs): user=<camilla_blanc@mydomain>, method=PLAIN, rip=61.185.139.72, lip=172.16.16.1, TLS, session=<dsk9nApoggA9uYtI> Mar 22 21:53:41 mail dovecot: imap-login: Disconnected (auth failed, 1 attempts in 11 secs): user=<emerick_christianne@mydomain>, method=PLAIN, rip=122.117.63.83, lip=172.16.16.1, TLS: Disconnected, session=<eUvvsApoFAB6dT9T>
그 이후의 IP 주소찢어=중국 출신이에요
이것은 /etc/postfix/main.cf의 일부입니다:
myhostname = mail.mydomain
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = mail, localhost.localdomain, localhost<br>
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24 172.16.16.0/24
mailbox_size_limit = 0
IP 주소를 캡처하여 IP 테이블 규칙에 추가하여 문제를 해결하려고 시도했지만 침입은 모두 중국에서 온 새로운 IP 주소로 계속됩니다.
cat /var/log/syslog |grep 'Disconnected (auth failed' |awk -F'=' '{print $4}' |sed 's/.\{5\}$//' |sort -u |awk '{print "$IPTABLES -I INPUT -s " $0 "/16 -j DROP"}'
이 명령의 출력은 다음과 같습니다
$IPTABLES -I INPUT -s 111.75.167.157/16 -j DROP
$IPTABLES -I INPUT -s 112.101.220.75/16 -j DROP
$IPTABLES -I INPUT -s 112.16.214.182/16 -j DROP
$IPTABLES -I INPUT -s 112.26.82.52/16 -j DROP
$IPTABLES -I INPUT -s 114.104.158.172/16 -j DROP
$IPTABLES -I INPUT -s 116.248.41.190/16 -j DROP
$IPTABLES -I INPUT -s 116.248.41.55/16 -j DROP
$IPTABLES -I INPUT -s 117.35.207.102/16 -j DROP
$IPTABLES -I INPUT -s 118.112.180.237/16 -j DROP
답변1
컴퓨터를 인터넷에서 분리하면 공격이 중단됩니다. 하지만 메일 수신도 중단됩니다.
이러한 봇을 차단하려면 직접 수동으로 차단하는 것보다 Fail2ban을 사용하는 것이 좋습니다. 최신 버전의 fall2ban에는 이미 기본적으로 비활성화되어 있는 postfix 및 dovecot 감옥이 포함되어 있으므로 활성화하기만 하면 됩니다. 예를 들어 다음에서 포함된 파일에서 /etc/fail2ban/jail.d/:
[postfix]
enabled = true
[dovecot]
enabled = true