Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Jak zablokowaćataki na serwer pocztowy exim ?
http://forum.freesco.pl/viewtopic.php?f=24&t=18714
Strona 1 z 1

Autor:  softtronic [ czwartek, 3 maja 2012, 14:13 ]
Tytuł:  Jak zablokowaćataki na serwer pocztowy exim ?

Witam, poszukuję skrypt który będzie zabezpieczał serwer pocztowy exim przed atakami jak w pokazanym fragmencie logu:

: [/] [] ()
server tpop3d[1438]: get_mysql_server: now using server localhost
 server tpop3d[1438]: connection_do: client `[7]77.243.116.113/server': username `skaner@84': 1 authentication failures
 server tpop3d[1438]: ioabs_tcp_post_select: client [7]77.243.116.113/server: connection closed by peer
 server tpop3d[1438]: connections_post_select: client [7]77.243.116.113/server: disconnected; 29/104 bytes read/written
 server tpop3d[1438]: listeners_post_select: client [7]77.243.116.113/server: connected to local address 84.10.109.159:110
 server tpop3d[1438]: connection_do: client `[7]77.243.116.113/server': username `oracle@84': 1 authentication failures
 server tpop3d[1438]: ioabs_tcp_post_select: client [7]77.243.116.113/server: connection closed by peer
 server tpop3d[1438]: connections_post_select: client [7]77.243.116.113/server: disconnected; 29/104 bytes read/written
 server tpop3d[1438]: listeners_post_select: client [7]77.243.116.113/server: connected to local address 84.10.109.159:110
 server tpop3d[1438]: connection_do: client `[7]77.243.116.113/server': username `oracle@84': 1 authentication failures

Chodzi mi o to, że jak zaczyna się takie przeszukiwanie dostępnych adresów to żeby np. po trzeciej nie udanej próbie połączenia dany adres IP dostawał Bana może od razu na firewolu lub w samej poczcie. Do tej pory blokowałem te adresy IP ręcznie jak sprawdzałem logi lecz jest to nieco uciążliwe.
Pozdrawiam.

Autor:  Maciek [ czwartek, 3 maja 2012, 16:09 ]
Tytuł: 

To nie dotyczy exima. To jest skanowanie serwera POP3.
Można zastosować fail2ban. Tyle, że to jest w tym wypadku i tak częściowe rozwiązanie. Możesz ograniczyć próby do trzech, a banować na godzinę. Co jednak, jeśli z jakiegoś powodu userowi się coś pomyli?
Najlepszym i najprostszym sposobem, który całkowicie uwolni cię od skanowania i groźby przejęcia kont, a także zapewni bezpieczeństwo i poufność poczty na twoim serwerze jest używanie bezpiecznej poczty SSL na porcie 995. Port 110 zamknąć.

Autor:  softtronic [ czwartek, 3 maja 2012, 20:24 ]
Tytuł: 

Dzięki za podpowiedź,
Zamknąłem port, teraz protestuję.
Pozdrawiam

Autor:  Maciek [ piątek, 4 maja 2012, 11:20 ]
Tytuł: 

Przeciw czemu protestujesz? Może się dołączę. ;)

Autor:  softtronic [ piątek, 4 maja 2012, 14:41 ]
Tytuł: 

Pomyłka, miało być potestuję. :)

Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/