delikatni problem - pop3/imap/smtp attack

michal krajcirovic konference na kraja.net
Neděle Duben 19 20:40:49 CEST 2009


ahoj,
resime tu zajiamvy problem s jednou zakaznikovou domenou. ma u nas maily 
stejne jako kvanta dalsich, na sve domene ma asi 10 schranek 
neco na example.com, zadny domenovy kos apod. nikdy nemel.

na jeho domenu neustale prichazeji pop3/imap/smtp konexe z 
cokoli na example.com (vzdy random hash 5-10znaku). to by samo o sobe 
nebylo nic zavazneho, pokud by to netrvalo jiz tri mesice v intenzite, 
kdy za cca 12 hodin dnes mame pres 300 000 neplatnych pokusu, coz je 
fakt docela zahul pro ten mailserver.

chtel jsem nasadit fail2ban (ktery mimochodem dela v teto zatezi a 
zatezi co tam bezne proudi pro par tisic dalsich domen docela zahul), 
cimz se pocet trosku eliminoval, problem je ze z vetsiny IP prichazi 
requesty maximalne desetkrat, takze to ze je po tretim pokusu zabanuju 
nema zas tak zasadni efekt.

napada nekoho nejaky napad na reseni?
jedine "pouzitelne" co me zatim napadlo bylo vyhradit pro tuto domenu 
samostatnou IP, na te orezat komplet vsechny porty, jen aby to 
forwardovalo prichozi maily na ten druhy mailserver.

mk



Další informace o konferenci Linux