delikatni problem - pop3/imap/smtp attack
michal krajcirovic
konference na kraja.net
Neděle Duben 19 20:40:49 CEST 2009
ahoj,
resime tu zajiamvy problem s jednou zakaznikovou domenou. ma u nas maily
stejne jako kvanta dalsich, na sve domene ma asi 10 schranek
neco na example.com, zadny domenovy kos apod. nikdy nemel.
na jeho domenu neustale prichazeji pop3/imap/smtp konexe z
cokoli na example.com (vzdy random hash 5-10znaku). to by samo o sobe
nebylo nic zavazneho, pokud by to netrvalo jiz tri mesice v intenzite,
kdy za cca 12 hodin dnes mame pres 300 000 neplatnych pokusu, coz je
fakt docela zahul pro ten mailserver.
chtel jsem nasadit fail2ban (ktery mimochodem dela v teto zatezi a
zatezi co tam bezne proudi pro par tisic dalsich domen docela zahul),
cimz se pocet trosku eliminoval, problem je ze z vetsiny IP prichazi
requesty maximalne desetkrat, takze to ze je po tretim pokusu zabanuju
nema zas tak zasadni efekt.
napada nekoho nejaky napad na reseni?
jedine "pouzitelne" co me zatim napadlo bylo vyhradit pro tuto domenu
samostatnou IP, na te orezat komplet vsechny porty, jen aby to
forwardovalo prichozi maily na ten druhy mailserver.
mk
Další informace o konferenci Linux