postfix a spam

Jan Marek jmarek na jcu.cz
Čtvrtek Květen 28 13:41:13 CEST 2015


Dobrý den,

proti slovníkovým útokům - a to jak na SMTP, ssh, POP3 apod. -
doporučuju fail2ban.

Funguje tak, že si ve specifikovaných log souborech vybírá vzory
neúspěšného přihlášení a po nastaveném počtu neúspěšného
přihlášení z nějaké adresy tuto adresu zabanuje na nastavenou
dobu (třeba na 1 hodinu) pomocí iptables. Používám ještě tzv.
recidive "jail" - ten funguje tak, že pokud danou adresu zabanuje
daný den 3x (dá se nastavit), zabanuje ji např. na týden. 

Je to v podstatě docela jednoduché řešení, dají se nadefinovat
filtry i na další specifické útoky apod... Výhodou je, že
pracujete s aplikační vrstvou a ne s počtem packetů...

Zdraví
Jan Marek

On Thu, May 28, 2015 at 11:47:30AM +0200, Jan Novacek wrote:
> Preji hezky den,
> spravuji postovni server Postfix a trapi me spam.
> Kazdou  chvili  pres  muj  server  nejaky  jde  a  musim to likvidovat
> manualne. Kdyz to neudelam dostatecne rychle, koncim na blacklistu.
> 
> Kratka verze dotazu - jak toto resite vy?
> 
> 
> Delsi verze dotazu:
> spamy   mi  chodi  pres  a) zavirovany web (musim zajistovat php mail,
> weby nejsou moje), b) pres smtp po ukradenem nebo uhodnutem hesle
> 
> Zatim  to  resim  tak, ze povoluji v Postfixu jednomu uzivateli poslat
> napr. max. 10 mailu za minutu.
> Jakmile  se zacne tvorit vetsi fronta zjistuji co se deje a podle toho
> jednam (zmena hesla k uctu, zastavení webu, blokovani zlobive IP)
> 
> Chtel jsem to resit jiz na urovni iptables.
> Mam  ted  spusteny  skript,  ktery  mi  pocita  pakety na jednotlivych
> portech. (zajimaji me porty pro pop3,imap,ftp, ssh)
> Sliboval jsem si od toho, ze zjistim kolik paketu udela 1 IP adresa za
> 5  minut  na  jednotlivých  portech. Potom tyto cisla pouziji a pomoci
> recent  modulu  do  iptables  budu  umet  identifikovat  a  zastavovat
> podezrele chovani, jednoduse a pro cely server najednou.
> 
> Jenze to bud takto delat nelze nebo to delam spatne.
> Mam  korektni  IP  adresu (tj. neutocici, běžný uživatel), který má za
> těch  5 minut napocitano vice paketu nez IP adresa, ktera se pokousela
> o slovnikovy utok.
> 
> Zavirovany web posilajici pres php mail z localhostu je druhy problem.
> Napadlo   me   reseni  nasadit  druhy  postfix  na  jinem  portu. Tomu
> soucasnemu  na  25  zakazat  localhost.  Novy  postfix  na  portu 2525
> limitovat  nejak jinak nez ten stavajici.
> 
> 
> Díky za kazde nakopnuti,
> Honza
> 
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux

-- 
Ing. Jan Marek               | Nez mi poslete prilohu .doc, .xls 
University of South Bohemia  | nebo .ppt, prectete si, prosim,
Academic Computer Centre     | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080       | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html


Další informace o konferenci Linux