Назад | Перейти на главную страницу

Сервер Exim и черный список для слишком большого количества попыток входа в систему

Это журнал отклонений exim на сегодня:

2016-01-07 13:48:44 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 15:32:09 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 15:41:35 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 15:49:01 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 15:56:50 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 16:04:58 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 16:12:28 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 16:20:19 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 16:28:08 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 16:35:50 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 16:43:28 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 16:51:18 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 16:58:51 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 17:06:25 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 17:13:58 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=info@mydomain.com)
2016-01-07 17:21:29 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 17:28:52 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 17:36:18 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 17:43:43 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 17:51:46 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 17:59:08 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 18:06:44 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 18:14:10 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 18:21:39 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 18:29:02 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 18:36:36 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 18:44:00 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 18:51:21 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 18:58:40 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=test@mydomain.com)
2016-01-07 19:05:59 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 19:13:18 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 19:20:42 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 19:28:03 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 19:35:48 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 19:43:11 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 19:50:35 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 19:57:59 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 20:05:25 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 20:12:51 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 20:20:17 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 20:27:41 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)
2016-01-07 20:35:06 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data (set_id=vito@mydomain.com)

Я не хочу ждать и больше ничего не делать, можно ли создать черный список для exim, заполненный IP-адресами более 10 попыток входа в систему за 1 час?

Имейте в виду, что я хочу создать черный список для попыток входа в систему smtp, а не для отправителей электронной почты.

Похоже, это неудачная попытка взлома. Я видел несколько из них.

Я бы рекомендовал использовать fail2ban блокировать IP при множественных сбоях. Вам следует проверить шаблоны, поскольку шаблоны по умолчанию не всегда совпадают. Он обрабатывает несколько файлов и несколько служб.

Exim действительно имеет возможность ratelimit трафик. Есть две версии, и более новая версия предназначена для использования в списках ACL. Это только замедлит попытки людей взломать ваш пароль, но может побудить их попробовать другой сервер. Если вы установите слишком низкую скорость, это может вызвать проблемы для законных пользователей.

Вы также можете ограничить авторизацию портом отправки. Такая строка в разделе почты должна требовать как шифрование TLS, так и порт отправки, прежде чем будет предложена аутентификация. 

auth_advertise_hosts = ${if and 
                     {eq {$tls_cipher}{}{}{*}}
                     {eq {$interface_port}{587}} }