Я заметил быстрое увеличение количества smtp-соединений, приходящих на мой сервер. Проведя более глубокое исследование, я выяснил, что мой smtp-сервер атакует ботнет. Я попытался остановить его, добавив правило в iptables:
-N SMTP-BLOCK -A SMTP-BLOCK -m limit --limit 1/m --limit-burst 3 -j LOG --log-level уведомление --log-prefix "iptables SMTP-BLOCK " -A SMTP-BLOCK -m недавние --name SMTPBLOCK --set -j DROP -A INPUT -p tcp --dport 25 -m состояние --state НОВЫЙ -m недавние --name SMTPBLOCK --rcheck --seconds 360 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m состояние --state НОВЫЙ -m недавние --name SMTP --set -A INPUT -p tcp --dport 25 -m состояние --state НОВЫЙ -m недавние --name SMTP --rcheck --seconds 60 --hitcount 3 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m состояние --state НОВЫЙ -j ПРИНЯТЬ
Это позволило бы им не бить "слишком быстро", однако проблема все еще остается, около 5 попыток в секунду, это сводит с ума, мне пришлось увеличить максимальное количество потомков sendmail/dovecot. Слишком много ip-адресов, чтобы отфильтровать вручную, и простое изменение smtp на другой порт непрактично, так как у меня много других клиентов на этом сервере.
Я использую sendmail с dovecot. Есть идеи, как отфильтровывать эту почту более эффективно?
решение1
Я бы склонился к тому, чтобы убедиться, что у вас есть резервные хосты MX, которые находятся на борту; затем заблокировать доступ к вашему порту 25 с каждой машины, кроме вашего резервного хоста MX. Входящая легитимная почта будет доставлена на резервный хост MX, который сможет доставить ее вам; но входящая почта, не предназначенная для вашей системы и приходящая с заведомо исправного хоста, никуда не пойдет.
(«Резервным MX-хостом» может быть даже другая ваша машина или даже VPS/облачная машина, которую вы арендуете по часам на несколько дней.)
Не вступайте в гонку вооружений с ботнетом — он может добавлять трафик быстрее, чем вы сможете добавлять пропускную способность и серверы.
Похоже, у вас много клиентов/доменов на одной машине, что увеличивает объем работы. Извините.
Вы можете рассмотреть возможность перехода на новый IP-адрес и/или изменения записи A для атакуемого хоста на 127.0.0.1 и поиска нового имени для сервера — есть некоторая вероятность, что спамеры перейдут к другой жертве и оставят ваше новое имя хоста/IP-адрес в покое.