Percebi um rápido aumento nas conexões smtp chegando ao meu servidor, investigando mais detalhadamente, descobri que há um botnet martelando meu servidor smtp. Tentei impedir isso adicionando uma regra no iptables:
-N SMTP-BLOCK -A SMTP-BLOCK -m limite --limit 1/m --limit-burst 3 -j LOG --log-level warning --log-prefix "iptables SMTP-BLOCK " -A SMTP-BLOCK -m recente --nome SMTPBLOCK --set -j DROP -A INPUT -p tcp --dport 25 -m estado --state NOVO -m recente --nome SMTPBLOCK --rcheck --seconds 360 -j SMTP-BLOCK - A INPUT -p tcp --dport 25 -m estado --state NOVO -m recente --nome SMTP --set -A INPUT -p tcp --dport 25 -m estado --state NOVO -m recente --nome SMTP --rcheck --segundos 60 --hitcount 3 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m estado --state NOVO -j ACEITAR
Isso evitaria que eles martelassem "muito rápido", porém o problema ainda assim, são umas 5 tentativas por segundo, está ficando uma loucura, tive que aumentar o número máximo de filhos do sendmail/dovecot. Há muitos ips para filtrar manualmente e simplesmente mudar o smtp para outra porta não é prático, pois tenho muitos outros clientes nesse servidor.
Estou usando o sendmail com dovecot. Alguma ideia para filtrar isso com mais eficiência?
Responder1
Minha inclinação seria garantir que você tenha hosts MX de backup a bordo; em seguida, bloqueie o acesso à sua porta 25 de todas as máquinas que não sejam seus hosts MX de backup. O correio legítimo de entrada será entregue ao host MX de backup, que poderá entregá-lo a você; mas e-mails recebidos não destinados ao seu sistema e provenientes de um host em bom estado não levarão a lugar nenhum.
(O "host MX de backup" pode até ser outra máquina sua, ou até mesmo uma máquina VPS/nuvem que você aluga por hora por alguns dias.)
Não entre em uma corrida armamentista com uma botnet – ela pode adicionar tráfego mais rápido do que você pode adicionar largura de banda e servidores.
Parece que você tem muitos clientes/domínios em uma máquina, o que dá mais trabalho. Desculpe.
Você pode considerar mudar para um novo endereço IP e/ou alterar o registro A do host sob ataque para 127.0.0.1 e encontrar um novo nome para o servidor - há uma chance razoável de os spammers passarem para outra vítima e deixarem seu novo nome do host/endereço IP sozinho.