我注意到到我的伺服器的 smtp 連線快速增加,進一步調查後我發現有一個殭屍網路正在攻擊我的 smtp 伺服器。我試圖透過在 iptables 中添加一條規則來阻止它:
-N SMTP-BLOCK -A SMTP-BLOCK -m limit --limit 1/m --limit-burst 3 -j LOG --日誌等級通知 --log-prefix "iptables SMTP-BLOCK " -A SMTP-BLOCK - m 最近--name SMTPBLOCK --set -j DROP -A 輸入-p tcp --dport 25 -m state --state NEW -m 最近--name SMTPBLOCK --rcheck --秒360 -j SMTP-BLOCK - A INPUT -p tcp --dport 25 -m 狀態--state NEW -m 最近--name SMTP --set -A INPUT -p tcp --dport 25 -m state --state NEW -m 最近--name SMTP - -rcheck --秒60 --hitcount 3 -j SMTP-BLOCK -A 輸入-p tcp --dport 25 -m 狀態--state 新-j 接受
這將避免他們「太快」地敲擊,但問題仍然存在,每秒嘗試 5 次,這太瘋狂了,我不得不增加 sendmail/dovecot 的子級的最大數量。有太多的 ip 需要手動過濾掉,並且簡單地將 smtp 更改為另一個連接埠是不切實際的,因為我在該伺服器上有許多其他客戶端。
我正在使用帶有 dovecot 的 sendmail,有什麼想法可以更有效地過濾掉它嗎?
答案1
我傾向於確保您有備用 MX 主機;然後阻止備份 MX 主機以外的所有電腦對連接埠 25 的存取。入站合法郵件將會傳送到備份 MX 主機,該主機將能夠將郵件傳送給您;但是,並非發送至您的系統且來自已知良好主機的入站郵件將無處可去。
(「備份 MX 主機」甚至可以是您的另一台機器,甚至是您按小時租用幾天的 VPS/雲端機器。)
不要與殭屍網路進行軍備競賽 - 它增加流量的速度比您增加頻寬和伺服器的速度還要快。
聽起來也許您在一台電腦上有很多客戶端/網域,這需要更多工作。對不起。
您可能會考慮轉移到新的IP 位址和/或將受攻擊主機的A 記錄更改為127.0.0.1 並為伺服器找到一個新名稱- 垃圾郵件發送者有可能轉移到另一個受害者並留下您的新名稱單獨的主機名稱/IP 位址。