Один из моих почтовых серверов (постфиксный, если это имеет значение) стал целью, как мне кажется, атаки. Злоумышленник пытается доставить несуществующему пользователю сообщения в виде длинной шестнадцатеричной строки, при этом сеансы SMTP происходят один раз в секунду. Вот фрагмент одного сеанса:
In: MAIL FROM:<xxxx@xx.xxx.xx> SIZE=2881 BODY=7BIT
Out: 250 2.1.0 Ok
In: RCPT TO:<35150aa4c74ba30f04ede17ca25f18cd@xxxx.yy
Out: 451 4.3.0 <35150aa4c74ba30f04ede17ca25f18cd@xxxx.yy>: Temporary lookup
failure
In: RCPT TO:<357f21a54e272af6a629ff7657eae27c@xxxx.yy>
Out: 451 4.3.0 <357f21a54e272af6a629ff7657eae27c@xxxx.yy>: Temporary lookup
failure
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<xxxxx@xx.xxx.xx> SIZE=2881 BODY=7BIT
Out: 250 2.1.0 Ok
In: RCPT TO:<947a7c9627f3977247586a4fca58bc67@xxxx.yy>
Out: 451 4.3.0 <947a7c9627f3977247586a4fca58bc67@xxxxx.yy>: Temporary lookup
failure
In: QUIT
Out: 221 2.0.0 Bye
Кто-нибудь знает, что это такое и как защитить серверы? Спасибо.
Посмотрев на это несколько дней и получив некоторую помощь на другом сайте, вот что происходит:
Очевидно, мы имеем дело со слепым сборщиком адресов emai. Обратите внимание, что все имена пользователей (строка перед @) состоят из 32 шестнадцатеричных символов. Заглянув в файлы журнала, я заметил, что такие значения появляются в идентификаторах сообщения во время транзакций SMTP, а также как часть заголовка в фактических сообщениях.
По всей видимости, происходит сбор почтовых адресов, где собираются все, что имеет "@". Возникает вопрос: был ли этот сбор данных из наших файлов журналов или нашего почтового хранилища - очень серьезная возможность, которая указывает на взлом, - или из другого места, например списков рассылки и т. Д. Оказывается, каждый тип SMTP-сервера назначает немного другое сообщение -id, поэтому при проверке журналов и опроса нескольких доменов выясняется, что идентификаторы сообщений длиной 32 символа назначаются EXIM. Вздох облегчения, я работаю только с Postfix.
Я пришел к выводу, что комбайн слепо выбирает имена пользователей и домены откуда угодно (возможно, из списков рассылки) и случайным образом объединяет их в пары !! Обновление Postfix для использования постскрина может помочь, а также исправление конфигурации для выдачи постоянной ошибки вместо временной.
Так что на самом деле никакой атаки на уязвимости, только слепые сообщения.