postfix a spam

Jan Novacek konference na cimboraservis.cz
Čtvrtek Květen 28 14:30:53 CEST 2015


Dobrý den,
28. května 2015, 13:41:13, napsal jste:

fail2ban  znám,  ale  řeší  jen to, když se někdo pokouší o slovníkový
útok proti mému serveru.

Pokud   heslo   někde  odposlechl  (pripadne  je primo zavirovane pc s
nastaveným MSA), nebo to jede pres zavirovaný web, potom
spam zastavit automaticky neumím.

Tyto ostatni udalosti resite jak?


Děkuji
Honza

> Dobrý den,

> proti slovníkovým útokům - a to jak na SMTP, ssh, POP3 apod. -
> doporučuju fail2ban.

> Funguje tak, že si ve specifikovaných log souborech vybírá vzory
> neúspěšného přihlášení a po nastaveném počtu neúspěšného
> přihlášení z nějaké adresy tuto adresu zabanuje na nastavenou
> dobu (třeba na 1 hodinu) pomocí iptables. Používám ještě tzv.
> recidive "jail" - ten funguje tak, že pokud danou adresu zabanuje
> daný den 3x (dá se nastavit), zabanuje ji např. na týden. 

> Je to v podstatě docela jednoduché řešení, dají se nadefinovat
> filtry i na další specifické útoky apod... Výhodou je, že
> pracujete s aplikační vrstvou a ne s počtem packetů...

> Zdraví
> Jan Marek

> On Thu, May 28, 2015 at 11:47:30AM +0200, Jan Novacek wrote:
>> Preji hezky den,
>> spravuji postovni server Postfix a trapi me spam.
>> Kazdou  chvili  pres  muj  server  nejaky  jde  a  musim to likvidovat
>> manualne. Kdyz to neudelam dostatecne rychle, koncim na blacklistu.
>> 
>> Kratka verze dotazu - jak toto resite vy?
>> 
>> 
>> Delsi verze dotazu:
>> spamy   mi  chodi  pres  a) zavirovany web (musim zajistovat php mail,
>> weby nejsou moje), b) pres smtp po ukradenem nebo uhodnutem hesle
>> 
>> Zatim  to  resim  tak, ze povoluji v Postfixu jednomu uzivateli poslat
>> napr. max. 10 mailu za minutu.
>> Jakmile  se zacne tvorit vetsi fronta zjistuji co se deje a podle toho
>> jednam (zmena hesla k uctu, zastavení webu, blokovani zlobive IP)
>> 
>> Chtel jsem to resit jiz na urovni iptables.
>> Mam  ted  spusteny  skript,  ktery  mi  pocita  pakety na jednotlivych
>> portech. (zajimaji me porty pro pop3,imap,ftp, ssh)
>> Sliboval jsem si od toho, ze zjistim kolik paketu udela 1 IP adresa za
>> 5  minut  na  jednotlivých  portech. Potom tyto cisla pouziji a pomoci
>> recent  modulu  do  iptables  budu  umet  identifikovat  a  zastavovat
>> podezrele chovani, jednoduse a pro cely server najednou.
>> 
>> Jenze to bud takto delat nelze nebo to delam spatne.
>> Mam  korektni  IP  adresu (tj. neutocici, běžný uživatel), který má za
>> těch  5 minut napocitano vice paketu nez IP adresa, ktera se pokousela
>> o slovnikovy utok.
>> 
>> Zavirovany web posilajici pres php mail z localhostu je druhy problem.
>> Napadlo   me   reseni  nasadit  druhy  postfix  na  jinem  portu. Tomu
>> soucasnemu  na  25  zakazat  localhost.  Novy  postfix  na  portu 2525
>> limitovat  nejak jinak nez ten stavajici.
>> 
>> 
>> Díky za kazde nakopnuti,
>> Honza
>> 
>> _______________________________________________
>> Linux mailing list
>> Linux na linux.cz
>> http://www.linux.cz/mailman/listinfo/linux




-- 
S pozdravem,
 Jan Novacek
 mailto:konference na cimboraservis.cz



Další informace o konferenci Linux