DDoS via Postfix
Tomas Macek
macek na fortech.cz
Pátek Srpen 4 10:54:33 CEST 2017
On Mon, 31 Jul 2017, Vitezslav Samel wrote:
> On Mon, Jul 31, 2017 at 07:19:13AM +0200, Jan Marek wrote:
>> Dobrý den,
>>
>> na několika mnou spravovaných serverech jsem zaznamenal DDoS vůči
>> adrese 185.140.110.3. Zřejmě na ní někdo udělal spoustu A záznamů
>> s různými doménami, viz část fronty mého postfixu:
>>
>> E836740067 2564 Fri Jul 28 02:24:32 MAILER-DAEMON
>> (connect to dcmclaims.com[185.140.110.3]:25: Connection refused)
>> natalie25r0wec na dcmclaims.com
>
> [...]
>
>> Mechanismus byl takový, že přišel mail na neexistujícího
>> uživatele a toto všechno byla oznámení o tom, že uživatel
>> neexistuje. Maily ale přicházely z jiných adres, než
>> z 185.140.110.3.
>>
>> Měl by někdo nápad, jak se proti tomu bránit?
>
> postfix 3.0+
>
> v main.cf:
> smtpd_sender_restrictions =
> ...
> check_sender_a_access cidr:$config_directory/blacklist_sender_cidr,
> ...
>
> v blacklist_sender_cidr:
> 185.140.110.3 REJECT Known spammy sender
>
>
Já mám takový dojem, že 185.140.110.3 za to nemůže, že ty maily chodí z
jiných IP a obsahujou návratovou mailovou adresu s doménou těch uměle
zřízených A záznamů. Na tom stroji pak nic neběží, takže to odmítá
spojení.
Takových mailů jsem tu měl tuny taky.
Tomáš
Další informace o konferenci Linux