1

問題に直面しており、専門家のアドバイスが必要です。ロシアや中国などの IP からの直接管理で、ブルート フォース攻撃の警告が常に表示されます。

メッセージは次のようなものです

Feb 27 04:31:15 host1 dovecot[2387]: pop3-login: Aborted login (auth failed, 1 attempts in 2 secs): user=<postmaster@domain.com>, method=PLAIN, rip=194.63.XXX.XXX, lip=XX.XX.99.210, session=<aC8bgAkQ2ADCP45l>
Feb 27 04:31:05 host1 exim[2385]: exim: Aborted login (auth failed, 10 attempts in 20 secs): user=<postmaster@domain.com>, method=PLAIN, rip=194.63.XXX.XXX, lip=XX.XX.99.210, session=<aC8bgAkQ2ADCP45l>

これは商用ホスティングではないため、実際に電子メール クライアントにログインして電子メールをチェックするのは 4 ~ 5 個の異なる IP アドレスのみです。

したがって、これを /etc/csf/csf.deny に入れることで、ポート 25、465、587 にアクセスするすべての IP アドレスをブロックすることにしました。

tcp:in:d=25:s=0.0.0.0/0
tcp:in:d=465:s=0.0.0.0/0
tcp:in:d=587:s=0.0.0.0/0

そして、/etc/csf/csf.allow で自分の IP アドレスを許可しました。これは良い考えですか? まだ外の世界から私にメールを送信できますか? ポート 25 がブロックされていますか?

tcp:in:d=25:s=124.12.0.0/20
tcp:in:d=465:s=124.12.0.0/20
tcp:in:d=587:s=124.12.0.0/20

お知らせ下さい。

どうもありがとう。

サーバー: Debian GNU/Linux 7.5 x86_64 / 直接管理 / CSF ファイアウォール

4

2 に答える 2

3

良い解決策は、Fail2ban を使用することです。

Fail2ban は、複数の認証エラーを引き起こすホストを禁止するデーモンです。

そして、iptables を使用して作業を行います。

デフォルトでは、SMTP 攻撃はブロックされませんが、次/etc/fail2ban/jail.localのように構成ファイルを編集できます。

[...]

[sendmail]

enabled  = true
port     = smtp,ssmtp
filter   = sendmail
logpath  = /var/log/mail.log
bantime  = 28800
action   = iptables-multiport[name=sendmail, port="pop3,imap,smtp,pop3s,imaps,smtps", protocol=tcp]

設定でパスとポートが正しいことを確認してください。

于 2015-03-04T09:09:25.660 に答える