postfix a spam
Jan Novacek
konference na cimboraservis.cz
Čtvrtek Květen 28 14:30:53 CEST 2015
Dobrý den,
28. května 2015, 13:41:13, napsal jste:
fail2ban znám, ale řeší jen to, když se někdo pokouší o slovníkový
útok proti mému serveru.
Pokud heslo někde odposlechl (pripadne je primo zavirovane pc s
nastaveným MSA), nebo to jede pres zavirovaný web, potom
spam zastavit automaticky neumím.
Tyto ostatni udalosti resite jak?
Děkuji
Honza
> Dobrý den,
> proti slovníkovým útokům - a to jak na SMTP, ssh, POP3 apod. -
> doporučuju fail2ban.
> Funguje tak, že si ve specifikovaných log souborech vybírá vzory
> neúspěšného přihlášení a po nastaveném počtu neúspěšného
> přihlášení z nějaké adresy tuto adresu zabanuje na nastavenou
> dobu (třeba na 1 hodinu) pomocí iptables. Používám ještě tzv.
> recidive "jail" - ten funguje tak, že pokud danou adresu zabanuje
> daný den 3x (dá se nastavit), zabanuje ji např. na týden.
> Je to v podstatě docela jednoduché řešení, dají se nadefinovat
> filtry i na další specifické útoky apod... Výhodou je, že
> pracujete s aplikační vrstvou a ne s počtem packetů...
> Zdraví
> Jan Marek
> On Thu, May 28, 2015 at 11:47:30AM +0200, Jan Novacek wrote:
>> Preji hezky den,
>> spravuji postovni server Postfix a trapi me spam.
>> Kazdou chvili pres muj server nejaky jde a musim to likvidovat
>> manualne. Kdyz to neudelam dostatecne rychle, koncim na blacklistu.
>>
>> Kratka verze dotazu - jak toto resite vy?
>>
>>
>> Delsi verze dotazu:
>> spamy mi chodi pres a) zavirovany web (musim zajistovat php mail,
>> weby nejsou moje), b) pres smtp po ukradenem nebo uhodnutem hesle
>>
>> Zatim to resim tak, ze povoluji v Postfixu jednomu uzivateli poslat
>> napr. max. 10 mailu za minutu.
>> Jakmile se zacne tvorit vetsi fronta zjistuji co se deje a podle toho
>> jednam (zmena hesla k uctu, zastavení webu, blokovani zlobive IP)
>>
>> Chtel jsem to resit jiz na urovni iptables.
>> Mam ted spusteny skript, ktery mi pocita pakety na jednotlivych
>> portech. (zajimaji me porty pro pop3,imap,ftp, ssh)
>> Sliboval jsem si od toho, ze zjistim kolik paketu udela 1 IP adresa za
>> 5 minut na jednotlivých portech. Potom tyto cisla pouziji a pomoci
>> recent modulu do iptables budu umet identifikovat a zastavovat
>> podezrele chovani, jednoduse a pro cely server najednou.
>>
>> Jenze to bud takto delat nelze nebo to delam spatne.
>> Mam korektni IP adresu (tj. neutocici, běžný uživatel), který má za
>> těch 5 minut napocitano vice paketu nez IP adresa, ktera se pokousela
>> o slovnikovy utok.
>>
>> Zavirovany web posilajici pres php mail z localhostu je druhy problem.
>> Napadlo me reseni nasadit druhy postfix na jinem portu. Tomu
>> soucasnemu na 25 zakazat localhost. Novy postfix na portu 2525
>> limitovat nejak jinak nez ten stavajici.
>>
>>
>> Díky za kazde nakopnuti,
>> Honza
>>
>> _______________________________________________
>> Linux mailing list
>> Linux na linux.cz
>> http://www.linux.cz/mailman/listinfo/linux
--
S pozdravem,
Jan Novacek
mailto:konference na cimboraservis.cz
Další informace o konferenci Linux