LINUX.ORG.RU
ФорумAdmin

DDOS атака на exim


0

0

Здравствуйте! Возникла следующая проблема. Ктото отсылает спам на несуществующие адреса с разных айпишников. Проблема в том что превышается число возможных коннектов exim-а и легальные юзеры не могут отправить письма, получают 421 Too many concurrent SMTP connections; please try again later.

Что можно предпринять?

anonymous

А много их, легальных юзеров? И кто они - другие SMTP-сервера или клиенты?

(Интересно, а как выглядит спамер с точки зрения сервера? Он сразу начинает здороваться или вежливо ждёт приветствие сервера?)

Думается, полезно также знать числовые показатели (скорость поступления запросов, во сколько раз перегружена система, лимит на число соединений, величина задержки при получении почты, далеко ли предел ширины канала и пр. и пр.) Только если спамер читает этот форум, то (снова думается) такой инфы всё же лучше не приводить...

alexsaa
()

В данной ситуации скорее всего уже ничего не предпримете. Если только спам не валится с нескольких определенных серверов. А на будущее неплохо было бы обзавестись еще одним почтовиком и использовать его как шлюз. Спихнуть туда антивирус, антиспам, а на основной сервер принимать почту только со шлюза либо от клиентов прошедших авторизацию.

Deimos
()

use

cbl.abuseat.org list.dsbl.org pbl.spamhaus.org dul.dnsbl.sorbs.net

создайте скрипт, который будет парсить логи и вносить в черный список все ip, которые посылают почут на несуществующие аккаунтыс кол-вом хитов больше n. Их можно заносить сразу в iptables/ipfw на срок час/день/неделя.

Valmont ★★★
()

Читайте RFC 2476 о "Message Submission Agent" (порт 587).
Легальным юзерам доступ с аутнетификацией только на порт 587 (соотв. кол-во конектов по этому порту учитывать отдельно)
Трафик между smtp-серверами по порту 25, как обычно.

sdio ★★★★★
()

а я для такой проблемы поставил fail2ban (токмо у меня postfix, но под эксимовский лог переделать очень легко)
$ cat /etc/fail2ban/filter.d/postfix.conf
# Fail2Ban configuration file

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching.
# Values: TEXT
#
#failregex = reject: RCPT from (.*)\[<HOST>\]: 554
failregex = reject: RCPT from (.*)\[<HOST>\]: 550

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

т.е. отлавливаю по 550 коду и баню на часок

Somewho ★★
()
Ответ на: комментарий от Valmont

>создайте скрипт, который будет парсить логи и вносить в черный >список все ip, которые посылают почут на несуществующие аккаунтыс >кол-вом хитов больше n. Их можно заносить сразу в iptables/ipfw на >срок час/день/неделя.

Exim не позволяет блокировать такую (кол-во несущ юзеров больше n) почту на этапе smtp-диалога?

Sciurus
()
Ответ на: комментарий от Sciurus

Не знаю, я использую постфикс. Но, некоторые почтовики имеют некоторую опцию типа temporary blacklited после некоторого кол-ва ошибок с кокретного хоста. Но, очень не уверен, что данная ошибка относится к типу таких.

// CGP таких точно сам банит на некоторое время.

Valmont ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin