SMTP 유효하지 않은 명령 공격 처리

8

우리의 반 바쁜 메일 서버 중 하나 인 sendmail은 지난 며칠 동안 가비지 명령을 실행하는 호스트로부터 많은 인바운드 연결을 가졌습니다.

지난 이틀 동안 :

  • 39,000 개의 고유 한 IP에서 유효하지 않은 명령으로 들어오는 SMTP 연결
  • IP는 내가 막을 수있는 몇 가지 네트워크가 아니라 전 세계의 다양한 범위에서 나옵니다.
  • 메일 서버는 북미 전역의 사용자에게 서비스를 제공하므로 알 수없는 IP의 연결을 차단할 수 없습니다
  • 잘못된 명령 샘플 : http://pastebin.com/4QUsaTXT

다른 사람이이 공격으로 무엇을하려고하는지 잘 모르겠습니다.

이것이 무엇인지 또는 효과적으로 처리하는 방법에 대한 아이디어가 있습니까?

linux  security  smtp  sendmail 

소스
1
이 트래픽은 smtp와 관련이 없으므로 sendmail에 도달하기 전에 일부 계층 7 방화벽이 방화벽을 삭제할 수 있는지 궁금합니다.

답변:

4

다음은 이러한 연결이 오류를 뱉기 시작한 후 타 피팅하기위한 하나 이상의 옵션입니다. 유효하고 행동이 좋은 고객은이 타르타르에 빠지지 않아야합니다.

dnl # New option in v8.14.0
dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP
dnl #   commands) before daemon will throttle connection by slowing
dnl #   error message replies (similar to "confBAD_RCPT_THROTTLE")
define(`MaxNOOPCommands', `5')dnl

GreetPause 기능을 사용할 수도 있습니다.이 기능은 일시 중지를 고려할 가능성이 없기 때문에 이러한 클라이언트를 거부합니다. 자세한 내용은 여기를 참조 하십시오 : http://www.deer-run.com/~hal/sysadmin/greet_pause.html

dnl # New feature in v8.13.1 (not listed in Companion)
dnl # Set time in milliseconds before sendmail will present its banner
dnl #   to a remote host (spammers won't wait and will already be
dnl #   transmitting before pause expires, and sendmail will
dnl #   refuse based on pre-greeting traffic) 5000=5 seconds
dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries
dnl #       in access table
FEATURE(`greet_pause',`5000')dnl
Blueben
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.