Smtp

來自 telnet 的電子郵件伺服器攻擊

  • December 8, 2018

我的郵件伺服器在阻止某些攻擊者嘗試遠端登錄到我們的郵件伺服器時遇到問題。但我無法阻止它,即使我們通過 ip 阻止,ip 也會不斷變化。似乎他正在嘗試從 smtp 事務中遠端登錄而不是正常登錄。他們無法進入我們的電子郵件伺服器,但這是每秒一次的交易。有沒有辦法阻止它/停止它?以下是錯誤消息:

81.198.214.48   [0968] 16:14:01 Connected, local IP=xx.xx.xx.xx:25
81.198.214.48   [0968] 16:14:01 >>> 220 mymailserver.com ESMTP IceWarp 11.0.1.2; Fri, 13 Feb 2015 16:14:01 +0800
81.198.214.48   [0968] 16:14:02 <<< EHLO ylmf-pc
81.198.214.48   [0968] 16:14:02 >>> 250-mymailserver.com Hello ylmf-pc [81.198.214.48], pleased to meet you.
81.198.214.48   [0968] 16:14:03 <<< AUTH LOGIN
81.198.214.48   [0968] 16:14:03 >>> 334 VXNlcx5hbWU6
81.198.214.48   [0968] 16:14:04 <<< aGFua3M=
81.198.214.48   [0968] 16:14:04 >>> 334 UGFzcxdvcmQ6
81.198.214.48   [0968] 16:14:04 <<< ODg4ODg4
81.198.214.48   [0968] 16:14:24 >>> 535 5.7.8 Authentication credentials invalid
81.198.214.48   [0968] 16:14:24 *** <> <> 0 0 00:00:00 INCOMPLETE-SESSION 
81.198.214.48   [0968] 16:14:24 Disconnected

那個特殊且無效的 EHLO 參數“ylmf-pc”是廣泛傳播的垃圾郵件殭屍網路的已知指紋,稱為“PushDo”(有時也稱為“Cutwail”)。如您的成績單所示,它主要是嘗試猜測密碼以通過您的伺服器進行身份驗證和發送郵件。由於以下三個特點,防止它向您的伺服器發送垃圾郵件或通過您的伺服器發送垃圾郵件很容易:

  1. 它實際上在接收到目標 MTA 發送的 SMTP 標語之前發送了 EHLO 命令,任何值得使用的現代 MTA(即可能不是 Exchange 或 QMail)都可以將這種行為檢測為不受歡迎的純垃圾郵件客戶端的明確指示。沒有合法的 SMTP 客戶端表現出這種“快速通話”的行為,因為它破壞了基本的 SMTP 功能。
  2. 字元串“ylmf-pc”不是有效的 EHLO 參數,因為它不是完全限定的主機名或括號括起來的 IP 地址文字。任何合法的 SMTP 客戶端都不會使用該參數。與快速通話行為一樣,任何體面的 MTA 都可以配置為使用固有無效的 EHLO 參數拒絕來自客戶端的郵件。
  3. 幾乎所有受感染的 PushDo/Cutwail 成員都通過其“CBL”組件列在免費的 zen.spamhaus.org DNSBL 中。即使您無法阻止快速說話或使用虛假的 EHLO 參數,您也應該能夠基於 DNSBL 進行阻止,並且使用 Zen 列表這樣做幾乎是普遍的不錯選擇。

因此,使用配置良好的 MTA 防止您的 MTA 接受所提供的任何垃圾郵件應該相對容易,但究竟如何使用您似乎正在使用的“IceWarp”MTA 做到這一點是供應商最好詢問的問題。處理可能涉及的純流量更加困難,因為單個 PushDo 殭屍可能會嘗試打開數百個同時會話並在一天內多次返回,而可能有數十個不同的殭屍積極嘗試在任何一天攻擊一台伺服器。減輕這種情況的選項可以來自 MTA;例如,可以將 Postfix 的最新版本設置為簡單地單方面刪除快速交談的客戶端(使用其“postscreen”工具),而不是禮貌地在整個 SMTP 對話中與它們一起玩,並且可以類似地配置 Sendmail。為了進一步減少問題,您可以使用類似 fail2ban 的日誌嗅探工具(在上一個答案中進行了描述)來阻止來自特定 IP 的流量。如果您選擇該選項,請注意,PushDo 感染往往一次持續很多天,因此您不應超過一周左右使塊過期。

引用自:https://serverfault.com/questions/667322