Автор Тема: Postfix - защита от dictionary атака  (Прочетена 2862 пъти)

tmcdos

  • Напреднали
  • *****
  • Публикации: 53
  • Distribution: Fedora Core 6
  • Window Manager: Не използвам - само Command-Line
    • Профил
    • WWW
Привет.
От време на време (3 пъти за година и половина) получавам истинска буря от атаки, насочени към налучкване на пощенски акаунти. Започва се по азбучен ред, и всяко писмо идва от различен IP-адрес (почти всички си имат прав и обратен DNS запис)
Сървъра ми е Postfix 2.2.4 на Fedora Core 4.
Има ли начин някакси да огранича такива атаки или е неспасяемо ?
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Postfix - защита от dictionary атака
« Отговор #1 -: Jul 26, 2007, 13:18 »
А какво прави твоя сървър? Има два варианта:
 - приема писмото за доставка, вижда, че няма такъв акаунт и връща отговор "User unknown" или
 - още по време на RCPT отговаря с "User unknown" ?
Ако работи по първата схема наистина положението е ужасно.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

tmcdos

  • Напреднали
  • *****
  • Публикации: 53
  • Distribution: Fedora Core 6
  • Window Manager: Не използвам - само Command-Line
    • Профил
    • WWW
Postfix - защита от dictionary атака
« Отговор #2 -: Jul 26, 2007, 13:29 »
Не, по втората схема си работи - още след RCPT TO връща грешка.
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Postfix - защита от dictionary атака
« Отговор #3 -: Jul 26, 2007, 13:50 »
В sendmail с
Цитат
FEATURE(`greet_pause', `5000')
можеш да му кажеш да отговаря на HELO/EHLO с 5 (в случая) секунди закъснение. Атакуващите обикновено не изчакват отговора, при което sendmail ги отрязва с "Reject: Pregreeting traffic". Виждам, че го има и в postfix. Ако решиш да го направиш, но имаш и други МХ сървъри, ще е добре да го направиш и на тях. За друг начин на противодействие не се сещам освен може би т.нар. greylist - приемаш писмата от непознати сървъри примерно 20 минути след първата заявка.



Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

tmcdos

  • Напреднали
  • *****
  • Публикации: 53
  • Distribution: Fedora Core 6
  • Window Manager: Не използвам - само Command-Line
    • Профил
    • WWW
Postfix - защита от dictionary атака
« Отговор #4 -: Jul 26, 2007, 14:27 »
Може би говориш за "smtpd_error_sleep_time" ? Това няма ли да доведе до DoS ?
За greylist не съм чел нищо ...
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Postfix - защита от dictionary атака
« Отговор #5 -: Jul 26, 2007, 15:05 »
http://en.wikipedia.org/wiki/Greylisting Тази техника не ми харесва и не съм я ползвал.
Преди време бях активирал great pause, но след време я махнах, понеже имам резервен МХ, който не администрирам аз и не исках да занимавам колегите там с това. А за Postfix ето на какво попаднах.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

tmcdos

  • Напреднали
  • *****
  • Публикации: 53
  • Distribution: Fedora Core 6
  • Window Manager: Не използвам - само Command-Line
    • Профил
    • WWW
Postfix - защита от dictionary атака
« Отговор #6 -: Jul 26, 2007, 16:29 »
smtpd_data_restrictions = reject_unauth_pipelining
го имам сложено при мен откакто е пуснат сървъра.
Може би трябва да извадя от логовете списъка с релейките, които участват в атаката, и да пратя по едно писмо за ABUSE ? Макар че в началото като пращах, от 50-ина само на 1-2 ми отговориха  '<img'>
Активен

bozho

  • Напреднали
  • *****
  • Публикации: 115
    • Профил
Re: Postfix - защита от dictionary атака
« Отговор #7 -: Oct 20, 2009, 14:28 »
<a href="http://en.wikipedia.org/wiki/Greylisting" target="_blank">http://en.wikipedia.org/wiki/Greylisting</a> Тази техника не ми харесва и не съм я ползвал.


И на мен не ми харесва, но се оказа най-ефективната срещу спам. Изключително ефективна. Така че харесва, не харесва - ползвам я.
Активен