Я заметил быстрое увеличение количества smtp-соединений, поступающих на мой сервер, изучив это дальше, я выяснил, что ботнет забивает мой smtp-сервер. Я попытался остановить это, добавив правило в iptables:
-N SMTP-BLOCK -A SMTP-BLOCK -m limit --limit 1 / m --limit-burst 3 -j LOG --log-level notice --log-prefix "iptables SMTP-BLOCK" -A SMTP-BLOCK -m недавний --name SMTPBLOCK --set -j DROP -A INPUT -p tcp --dport 25 -m state --state NEW -m недавний --name SMTPBLOCK --rcheck --seconds 360 -j SMTP-BLOCK - A INPUT -p tcp --dport 25 -m state --state NEW -m недавний --name SMTP --set -A INPUT -p tcp --dport 25 -m state --state NEW -m недавний --name SMTP --rcheck --seconds 60 --hitcount 3 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
Это позволило бы им избежать «слишком быстро», но проблема все еще, вроде 5 попыток в секунду, это сходит с ума, мне пришлось увеличить максимальное количество дочерних элементов sendmail / dovecot. Слишком много IP-адресов, чтобы отфильтровать их вручную, и простое изменение smtp на другой порт нецелесообразно, поскольку на этом сервере у меня много других клиентов.
Я использую sendmail с dovecot, есть ли идеи, чтобы это отфильтровали более эффективно?
Я хотел бы убедиться, что у вас есть резервные MX-хосты; затем заблокируйте доступ к вашему порту 25 со всех машин, кроме вашего резервного MX-хоста. Входящая легальная почта будет доставлена на резервный MX-узел, который сможет доставить ее вам; но входящая почта, не предназначенная для вашей системы и исходящая от заведомо исправного хоста, никуда не пойдет.
(«Резервный MX-хост» может быть даже другой вашей машиной или даже VPS / облачной машиной, которую вы арендуете почасово на несколько дней.)
Не вступайте в гонку вооружений с ботнетом - он может добавлять трафик быстрее, чем вы добавляете пропускную способность и серверы.
Похоже, у вас много клиентов / доменов на одной машине, что требует больше работы. Сожалею.
Вы можете подумать о переходе на новый IP-адрес и / или изменении записи A для атакуемого хоста на 127.0.0.1 и поиске нового имени для сервера - есть некоторый разумный шанс, что спамеры перейдут к другой жертве и оставят вашу новую только имя хоста / IP-адрес.