LINUX.ORG.RU
ФорумAdmin

Poxtfix, попытка атаки или опенрелея

 , ,


0

2

Доброго времени суток. Сегодня утром столкнулся с неприятной ситуацией. В очереди на момент прихода на работу на постмастера висело порядка 16 тысяч оповещений. Почтовик хоть и не полностью в раковом состоянии был, но очередь очень «тупо» обрабатывал. При разборе «полетов» (логов) выяснилось, что с какого-то америкасовстого IP пытались слать на наши почтовые ящики, причем логины, на которые шло, были и случайные и существующие - типа перебором (возможно еще и опенрелей пробовали). Айпишка, с которого была атака постфиксом был заблокирован сразу параметрам по первому - unknown host (у меня из первых правил проверок это стоит) (бывают тут с этим, конечно тоже ложные сработки, но, как правило, это виноваты провайдеры или админы тех, кто надежный отправитель, но кто-то там накосячил, но это либо на их стороне лечится быстро, либо есть белые списки, для тех где админы приходящие). Я уже там не сильно вчитывался, сколько раз постфикс стал после этого отвечать на этот IP лост коннекшен, но атака продолжалась по нашему времени с часу ночи, до 7 утра. На вскидку оповещения на постмастера перевалили за 35 тысяч. Забанил на уровне iptables IP, хотя врядни с него будет повторяться атака. А может в ближайшее время и не коснется (последний раз, но не так интенсивно, лет 10 назад было. Я тогда правила «отброса» сообщений пересмотрел и немного поправил).

Это предыстория. Теперь вопрос: Постфикс у меня по сути эту атаку заблочил, но я же опять попал в производительность железа, наверное, где он просто очень быстно не мог обработать сообщения для постмастера? (Пока сервак там реально не очень по железу). Отсюда вопрос - в скаую сторону смотреть, что бы избежать в будущем? У постфикса есть возможность настроить оповещения, что не на каждый одинаковый чих слать по сообщению? Ну если 100 подряд с небольшим промежутком времени с одного IP он отбивает как Lost Connect, то не на каждое событие, а хотя бы 10-50 получал, что спамера послали?

Еще, помню, что-то попадалось, что как-то можно это еще в связке с iptables связать при таких атаках, но сам не помню детали и нагуглить в яндексе ничего не получилось. Почти везде инструкции для настройки постфикса, но нигде такой ситуации не вижу. Да и там по сути везде общий копипаст, а остальное читайте маны. А я тут столкнулся, что не знаю на что именно читать. В какую именно сторону смотреть, что бы мой же постмастер меня о том, что он заблочил, мой сервак не загнал в ступор

★★★

connlimit и в drop

anc ★★★★★
()

На вскидку оповещения на постмастера перевалили за 35 тысяч

А зачем они вообще нужны? Есть лог, там всё написано, если оно интересно. Или речь о копии боунсов про несуществующего пользователя?

AS ★★★★★
()

Хз что ты там гуглил, попробуй fail2ban.

Anoxemian ★★★★★
()

Cлать через релей, только c разрешенных сетей
Со времен когда спамеров было просто писец, а постфикса еще не было, писали модуль на Си для qmail - который разрешал отправлять пользователю (с одного IP адреса) 20 писем с одним электронным адресом получателя за 30 минут, если больше то блокировка модулем. думаю можно и в fail2ban добавить правило для этого
у postfix есть подобные штуки - ограничение по количеству отправляемых писем, но как правильно они работают тестить надо.
graylisting для почтовика с почтовыми ящиками - сразу в бан на 30 минут если отправка с этого ip впервые происходит.

«но, как правило, это виноваты провайдеры или админы тех, » виноваты только Вы, а не кто то там кто о Вашей проблеме не подумал.

Vlad-76 ★★★★
()

Для этого есть fail2ban. Плохая новость, это говнопрога.

AVL2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.