Ubuntu
強制斷開垃圾郵件發送者
我的 Ubuntu 伺服器上有 Postfix、Dovecot 和 Amavis。最近,我每 4 分鐘就會從 IP 155.133.82.96 獲得一個連接,這似乎是 Windows XP 並且可能有病毒。無論如何,我找到了方法(經過大量Google搜尋)讓我的 Postfix 不會延遲客戶端訪問檢查,並且我拒絕了該 IP。但是,它會停留一段時間。
我想找到一種更激進的方法,在檢查完成並且IP還沒有通過的情況下,強制斷開IP。我怎樣才能做到這一點?(我尋求 Postfix 解決方案,而不是 iptables 或類似解決方案)
此地址是波蘭供應商提供的網路的一部分: http ://www.tcpiputils.com/browse/ip-address/155.133.82.96
我還經常掃描來自該網路的 MTA,主要/僅用於 SASL 登錄中斷嘗試。我建議遠離這些東西:
- 據我所知,僅使用 Postfix 的解決方案是不可能的。但是您可以使用 ie postgrey/cbpolicyd 或類似的守護程序或 smtpd_client_restrictions 表來處理黑名單。但這是一些經常性的手工工作……
- 更好地使用fail2ban: apt-get install fail2ban
http://www.fail2ban.org/wiki/index.php/Main_Page
它可以很好地檢查此類入侵嘗試並在防火牆中禁止IP 10分鐘(預設)。基本規則通常應該足以限制此類掃描。
- 此外,您可以將 fail2ban 的活動記錄到數據庫中,以計算 IP 的禁令數量。根據這些數據,我在 7 天內阻止了所有超過 25 個禁令的入侵者。防火牆每小時更新一次。
- 通常是一個隱蔽的概念:如果您一個人使用此郵件系統,請考慮在 Postfix master.conf 中選擇一個非標準埠進行投遞:
smtp inet n - n - - smtpd **-o smtpd_sasl_auth_enable=no** smtps inet n - n - - smtpd **-o smtpd_sasl_auth_enable=no** **60666 inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes**
通常 SASL 掃描針對埠 25、465、567,如果沒有答案,他們會放棄。不要忘記在您的防火牆規則中另外允許這個非標準埠。我將此概念用於沒有客戶端流量的備份 MX。
fail2ban 對於保護許多其他服務(如 sshd 或 httpd 等)來說是一件非常好的事情,並且設置在幾分鐘內完成。