DDoS via Postfix

[Vitezslav Samel]

On Mon, Jul 31, 2017 at 07:19:13AM +0200, Jan Marek wrote:
> Dobrý den,
> 
> na několika mnou spravovaných serverech jsem zaznamenal DDoS vůči
> adrese 185.140.110.3. Zřejmě na ní někdo udělal spoustu A záznamů
> s různými doménami, viz část fronty mého postfixu:
> 
> E836740067     2564 Fri Jul 28 02:24:32  MAILER-DAEMON
>               (connect to dcmclaims.com[185.140.110.3]:25: Connection refused)
>                                          natalie25r0wec na dcmclaims.com

[...]

> Mechanismus byl takový, že přišel mail na neexistujícího
> uživatele a toto všechno byla oznámení o tom, že uživatel
> neexistuje. Maily ale přicházely z jiných adres, než
> z 185.140.110.3.
> 
> Měl by někdo nápad, jak se proti tomu bránit?

postfix 3.0+

v main.cf:
smtpd_sender_restrictions =
	...
	check_sender_a_access cidr:$config_directory/blacklist_sender_cidr,
	...

v blacklist_sender_cidr:
185.140.110.3           REJECT Known spammy sender


	Vita