DDoS via Postfix
Vitezslav Samel
vitezslav na samel.cz
Pondělí Červenec 31 07:30:55 CEST 2017
On Mon, Jul 31, 2017 at 07:19:13AM +0200, Jan Marek wrote:
> Dobrý den,
>
> na několika mnou spravovaných serverech jsem zaznamenal DDoS vůči
> adrese 185.140.110.3. Zřejmě na ní někdo udělal spoustu A záznamů
> s různými doménami, viz část fronty mého postfixu:
>
> E836740067 2564 Fri Jul 28 02:24:32 MAILER-DAEMON
> (connect to dcmclaims.com[185.140.110.3]:25: Connection refused)
> natalie25r0wec na dcmclaims.com
[...]
> Mechanismus byl takový, že přišel mail na neexistujícího
> uživatele a toto všechno byla oznámení o tom, že uživatel
> neexistuje. Maily ale přicházely z jiných adres, než
> z 185.140.110.3.
>
> Měl by někdo nápad, jak se proti tomu bránit?
postfix 3.0+
v main.cf:
smtpd_sender_restrictions =
...
check_sender_a_access cidr:$config_directory/blacklist_sender_cidr,
...
v blacklist_sender_cidr:
185.140.110.3 REJECT Known spammy sender
Vita
Další informace o konferenci Linux