Назад | Перейти на главную страницу

У меня очень наглая pop3 атака, как защитить сервер?

Сегодня у меня дерзкая атака на мой сервер pop3-dovecot, и почтовый журнал переполнен (200 МБ) такой информацией:

Nov 11 09:28:14 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<shawn>, method=PLAIN, rip=200.233.152.111, lip=myip
Nov 11 09:28:14 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<shop>, method=PLAIN, rip=200.233.152.111, lip=myip
Nov 11 09:28:14 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<sitetest>, method=PLAIN, rip=200.233.152.111, lip=myip
Nov 11 09:28:14 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<solar>, method=PLAIN, rip=200.233.152.111, lip=myip
Nov 11 09:28:15 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<services>, method=PLAIN, rip=200.233.152.111, lip=myip

Я просто заблокировал ip злоумышленника по iptables

-A INPUT -s 200.233.152.111 -j DROP

Но это можно продолжить в любое время с других IP-адресов.

Мой вопрос: есть ли способ запретить кому-либо подключаться к моему серверу pop3 (кроме меня?), Потому что мой IP-адрес является динамическим со стороны интернет-провайдера, поэтому я не знаю, как сделать так, чтобы сервер pop3 знал, что это именно я. Заранее спасибо!

Ответом на ваш точный вопрос будет настройка VPN (т.е. путем установки и настройки OpenVPN), а затем настройка Dovecot и / или iptables так что только тот, кто подключен через VPN, может получить доступ к службе POP3.

Тем не менее, вы, возможно, захотите следовать другим путем - это установка fail2ban таким образом, один IP-адрес, пытающийся установить слишком много неудачных соединений, например, тот, который выполняет атаку методом грубой силы, не сможет подключиться снова в течение определенного времени.

В вики по Dovecot есть некоторые инструкции о том, как это сделать.

Проще всего поменять порт. Он не защитит от чрезвычайно настойчивого злоумышленника, но, вероятно, этого будет достаточно, чтобы не допустить людей, которые ищут низко висящие фрукты.

Вам также следует настроить fail2ban или аналогичный. Это автоматически заносит в черный список IP-адреса после слишком большого количества неудачных попыток входа в систему.