Тема: Postfix - защита от dictionary атака (Прочетена 7090 пъти)

tmcdos · « -: Jul 26, 2007, 12:41 »

Привет.
От време на време (3 пъти за година и половина) получавам истинска буря от атаки, насочени към налучкване на пощенски акаунти. Започва се по азбучен ред, и всяко писмо идва от различен IP-адрес (почти всички си имат прав и обратен DNS запис)
Сървъра ми е Postfix 2.2.4 на Fedora Core 4.
Има ли начин някакси да огранича такива атаки или е неспасяемо ?

laskov · « **Отговор #1 -:** Jul 26, 2007, 13:18 »

А какво прави твоя сървър? Има два варианта:
- приема писмото за доставка, вижда, че няма такъв акаунт и връща отговор "User unknown" или
- още по време на RCPT отговаря с "User unknown" ?
Ако работи по първата схема наистина положението е ужасно.

tmcdos · « **Отговор #2 -:** Jul 26, 2007, 13:29 »

Не, по втората схема си работи - още след RCPT TO връща грешка.

laskov · « **Отговор #3 -:** Jul 26, 2007, 13:50 »

В sendmail с

Цитат

FEATURE(`greet_pause', `5000')

можеш да му кажеш да отговаря на HELO/EHLO с 5 (в случая) секунди закъснение. Атакуващите обикновено не изчакват отговора, при което sendmail ги отрязва с "Reject: Pregreeting traffic". Виждам, че го има и в postfix. Ако решиш да го направиш, но имаш и други МХ сървъри, ще е добре да го направиш и на тях. За друг начин на противодействие не се сещам освен може би т.нар. greylist - приемаш писмата от непознати сървъри примерно 20 минути след първата заявка.

tmcdos · « **Отговор #4 -:** Jul 26, 2007, 14:27 »

Може би говориш за "smtpd_error_sleep_time" ? Това няма ли да доведе до DoS ?
За greylist не съм чел нищо ...

laskov · « **Отговор #5 -:** Jul 26, 2007, 15:05 »

http://en.wikipedia.org/wiki/Greylisting Тази техника не ми харесва и не съм я ползвал.
Преди време бях активирал great pause, но след време я махнах, понеже имам резервен МХ, който не администрирам аз и не исках да занимавам колегите там с това. А за Postfix ето на какво попаднах.

tmcdos · « **Отговор #6 -:** Jul 26, 2007, 16:29 »

smtpd_data_restrictions = reject_unauth_pipelining
го имам сложено при мен откакто е пуснат сървъра.
Може би трябва да извадя от логовете списъка с релейките, които участват в атаката, и да пратя по едно писмо за ABUSE ? Макар че в началото като пращах, от 50-ина само на 1-2 ми отговориха

'>

bozho · « **Отговор #7 -:** Oct 20, 2009, 14:28 »

Цитат на: laskov в Jul 26, 2007, 15:05

<a href="http://en.wikipedia.org/wiki/Greylisting" target="_blank">http://en.wikipedia.org/wiki/Greylisting</a> Тази техника не ми харесва и не съм я ползвал.

И на мен не ми харесва, но се оказа най-ефективната срещу спам. Изключително ефективна. Така че харесва, не харесва - ползвам я.

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	Приблем с SA Dictionary 2.2 Настройка на програми	wandererbg	14	10139	Apr 11, 2003, 18:18 от mironcho
	Gaberoff Koral Dictionary под Линукс? Общ форум	Nirangor	0	6882	May 06, 2004, 19:54 от Nirangor
	Нерви с dictionary и bruteforce атаки към FreeBSD Настройки на софтуер	bubba	2	7371	Jan 05, 2006, 22:58 от acidburn
	Postfix + postfix admin + courier + sasl Хардуерни и софтуерни проблеми	TQ_	1	8714	Apr 05, 2007, 12:44 от TQ_
	wine и SA Dictionary не приема кирилски текст Настройка на програми	reiter72	9	8680	Jan 21, 2013, 15:26 от dejuren

Автор Тема: Postfix - защита от dictionary атака (Прочетена 7090 пъти)

tmcdos

Postfix - защита от dictionary атака

laskov

Postfix - защита от dictionary атака

tmcdos

Postfix - защита от dictionary атака

laskov

Postfix - защита от dictionary атака

tmcdos

Postfix - защита от dictionary атака

laskov

Postfix - защита от dictionary атака

tmcdos

Postfix - защита от dictionary атака

bozho

Re: Postfix - защита от dictionary атака