postfix a spam
Jan Marek
jmarek na jcu.cz
Čtvrtek Květen 28 13:41:13 CEST 2015
Dobrý den,
proti slovníkovým útokům - a to jak na SMTP, ssh, POP3 apod. -
doporučuju fail2ban.
Funguje tak, že si ve specifikovaných log souborech vybírá vzory
neúspěšného přihlášení a po nastaveném počtu neúspěšného
přihlášení z nějaké adresy tuto adresu zabanuje na nastavenou
dobu (třeba na 1 hodinu) pomocí iptables. Používám ještě tzv.
recidive "jail" - ten funguje tak, že pokud danou adresu zabanuje
daný den 3x (dá se nastavit), zabanuje ji např. na týden.
Je to v podstatě docela jednoduché řešení, dají se nadefinovat
filtry i na další specifické útoky apod... Výhodou je, že
pracujete s aplikační vrstvou a ne s počtem packetů...
Zdraví
Jan Marek
On Thu, May 28, 2015 at 11:47:30AM +0200, Jan Novacek wrote:
> Preji hezky den,
> spravuji postovni server Postfix a trapi me spam.
> Kazdou chvili pres muj server nejaky jde a musim to likvidovat
> manualne. Kdyz to neudelam dostatecne rychle, koncim na blacklistu.
>
> Kratka verze dotazu - jak toto resite vy?
>
>
> Delsi verze dotazu:
> spamy mi chodi pres a) zavirovany web (musim zajistovat php mail,
> weby nejsou moje), b) pres smtp po ukradenem nebo uhodnutem hesle
>
> Zatim to resim tak, ze povoluji v Postfixu jednomu uzivateli poslat
> napr. max. 10 mailu za minutu.
> Jakmile se zacne tvorit vetsi fronta zjistuji co se deje a podle toho
> jednam (zmena hesla k uctu, zastavení webu, blokovani zlobive IP)
>
> Chtel jsem to resit jiz na urovni iptables.
> Mam ted spusteny skript, ktery mi pocita pakety na jednotlivych
> portech. (zajimaji me porty pro pop3,imap,ftp, ssh)
> Sliboval jsem si od toho, ze zjistim kolik paketu udela 1 IP adresa za
> 5 minut na jednotlivých portech. Potom tyto cisla pouziji a pomoci
> recent modulu do iptables budu umet identifikovat a zastavovat
> podezrele chovani, jednoduse a pro cely server najednou.
>
> Jenze to bud takto delat nelze nebo to delam spatne.
> Mam korektni IP adresu (tj. neutocici, běžný uživatel), který má za
> těch 5 minut napocitano vice paketu nez IP adresa, ktera se pokousela
> o slovnikovy utok.
>
> Zavirovany web posilajici pres php mail z localhostu je druhy problem.
> Napadlo me reseni nasadit druhy postfix na jinem portu. Tomu
> soucasnemu na 25 zakazat localhost. Novy postfix na portu 2525
> limitovat nejak jinak nez ten stavajici.
>
>
> Díky za kazde nakopnuti,
> Honza
>
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
--
Ing. Jan Marek | Nez mi poslete prilohu .doc, .xls
University of South Bohemia | nebo .ppt, prectete si, prosim,
Academic Computer Centre | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080 | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html
Další informace o konferenci Linux