Один из наших полузанятых почтовых серверов (sendmail) за последние несколько дней имел много входящих подключений с хостов, которые выдают мусорные команды.
За последние два дня:
Я не уверен, что кто-то пытается достичь этой атакой, кроме того, что меня раздражает.
есть идеи, о чем это, или как эффективно с этим бороться?
Вот по крайней мере один вариант, позволяющий не замечать эти соединения после того, как они начнут выдавать ошибки. Надежные и хорошо воспитанные клиенты никогда не должны попадать в этот тупик.
dnl # New option in v8.14.0
dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP
dnl # commands) before daemon will throttle connection by slowing
dnl # error message replies (similar to "confBAD_RCPT_THROTTLE")
define(`MaxNOOPCommands', `5')dnl
Вы также можете использовать функцию GreetPause, которая отклоняет этих клиентов, потому что они вряд ли соблюдают паузу. Вы можете прочитать больше об этом здесь: http://www.deer-run.com/~hal/sysadmin/greet_pause.html
dnl # New feature in v8.13.1 (not listed in Companion)
dnl # Set time in milliseconds before sendmail will present its banner
dnl # to a remote host (spammers won't wait and will already be
dnl # transmitting before pause expires, and sendmail will
dnl # refuse based on pre-greeting traffic) 5000=5 seconds
dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries
dnl # in access table
FEATURE(`greet_pause',`5000')dnl
Я бы установил fail2ban и заблокировать при первой недопустимой команде.