Титла: Postfix - защита от dictionary атака
Публикувано от: tmcdos в Jul 26, 2007, 12:41
Привет.
От време на време (3 пъти за година и половина) получавам истинска буря от атаки, насочени към налучкване на пощенски акаунти. Започва се по азбучен ред, и всяко писмо идва от различен IP-адрес (почти всички си имат прав и обратен DNS запис)
Сървъра ми е Postfix 2.2.4 на Fedora Core 4.
Има ли начин някакси да огранича такива атаки или е неспасяемо ?
От време на време (3 пъти за година и половина) получавам истинска буря от атаки, насочени към налучкване на пощенски акаунти. Започва се по азбучен ред, и всяко писмо идва от различен IP-адрес (почти всички си имат прав и обратен DNS запис)
Сървъра ми е Postfix 2.2.4 на Fedora Core 4.
Има ли начин някакси да огранича такива атаки или е неспасяемо ?
Титла: Postfix - защита от dictionary атака
Публикувано от: laskov в Jul 26, 2007, 13:18
А какво прави твоя сървър? Има два варианта:
- приема писмото за доставка, вижда, че няма такъв акаунт и връща отговор "User unknown" или
- още по време на RCPT отговаря с "User unknown" ?
Ако работи по първата схема наистина положението е ужасно.
- приема писмото за доставка, вижда, че няма такъв акаунт и връща отговор "User unknown" или
- още по време на RCPT отговаря с "User unknown" ?
Ако работи по първата схема наистина положението е ужасно.
Титла: Postfix - защита от dictionary атака
Публикувано от: tmcdos в Jul 26, 2007, 13:29
Не, по втората схема си работи - още след RCPT TO връща грешка.
Титла: Postfix - защита от dictionary атака
Публикувано от: laskov в Jul 26, 2007, 13:50
В sendmail с
можеш да му кажеш да отговаря на HELO/EHLO с 5 (в случая) секунди закъснение. Атакуващите обикновено не изчакват отговора, при което sendmail ги отрязва с "Reject: Pregreeting traffic". Виждам, че го има и в postfix. Ако решиш да го направиш, но имаш и други МХ сървъри, ще е добре да го направиш и на тях. За друг начин на противодействие не се сещам освен може би т.нар. greylist - приемаш писмата от непознати сървъри примерно 20 минути след първата заявка.
| Цитат |
| FEATURE(`greet_pause', `5000') |
Титла: Postfix - защита от dictionary атака
Публикувано от: tmcdos в Jul 26, 2007, 14:27
Може би говориш за "smtpd_error_sleep_time" ? Това няма ли да доведе до DoS ?
За greylist не съм чел нищо ...
За greylist не съм чел нищо ...
Титла: Postfix - защита от dictionary атака
Публикувано от: laskov в Jul 26, 2007, 15:05
http://en.wikipedia.org/wiki/Greylisting Тази техника не ми харесва и не съм я ползвал.
Преди време бях активирал great pause, но след време я махнах, понеже имам резервен МХ, който не администрирам аз и не исках да занимавам колегите там с това. А за Postfix ето на какво попаднах.
Преди време бях активирал great pause, но след време я махнах, понеже имам резервен МХ, който не администрирам аз и не исках да занимавам колегите там с това. А за Postfix ето на какво попаднах.
Титла: Postfix - защита от dictionary атака
Публикувано от: tmcdos в Jul 26, 2007, 16:29
smtpd_data_restrictions = reject_unauth_pipelining
го имам сложено при мен откакто е пуснат сървъра.
Може би трябва да извадя от логовете списъка с релейките, които участват в атаката, и да пратя по едно писмо за ABUSE ? Макар че в началото като пращах, от 50-ина само на 1-2 ми отговориха
го имам сложено при мен откакто е пуснат сървъра.
Може би трябва да извадя от логовете списъка с релейките, които участват в атаката, и да пратя по едно писмо за ABUSE ? Макар че в началото като пращах, от 50-ина само на 1-2 ми отговориха
Титла: Re: Postfix - защита от dictionary атака
Публикувано от: bozho в Oct 20, 2009, 14:28
<a href="http://en.wikipedia.org/wiki/Greylisting" target="_blank">http://en.wikipedia.org/wiki/Greylisting</a> Тази техника не ми харесва и не съм я ползвал.
И на мен не ми харесва, но се оказа най-ефективната срещу спам. Изключително ефективна. Така че харесва, не харесва - ползвам я.