8 votes

BigB avatar

Traitement de l'attaque par commande SMTP invalide

Demandé el 3 de Septembre, 2012
Quand la question a-t-elle été
778 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Ces derniers jours, l'un de nos serveurs de messagerie semi-occupés (sendmail) a reçu un grand nombre de connexions entrantes provenant d'hôtes qui émettent des commandes inutiles.

Au cours des deux derniers jours :

  • connexions smtp entrantes avec des commandes non valides provenant de 39 000 IP uniques
  • les IP proviennent de diverses gammes dans le monde entier, et pas seulement de quelques réseaux que je peux bloquer.
  • le serveur de courrier électronique dessert des utilisateurs dans toute l'Amérique du Nord, et je ne peux donc pas simplement bloquer les connexions provenant d'IP inconnues
  • exemple de mauvaises commandes : http://pastebin.com/4QUsaTXT

Je ne sais pas ce que quelqu'un essaie d'accomplir avec cette attaque, à part m'ennuyer.

Avez-vous une idée de ce dont il s'agit, ou comment y faire face efficacement ?

Demandé el 3 de Septembre, 2012 par BigB

Réponses

Trop de publicités?

4voto

Jeffrey Hantin avatar
Jeffrey Hantin Points 189

Voici au moins une option pour tarauder ces connexions lorsqu'elles commencent à cracher des erreurs. Les clients valides et bien élevés ne devraient jamais tomber dans cette fosse.

dnl # New option in v8.14.0
dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP
dnl #   commands) before daemon will throttle connection by slowing
dnl #   error message replies (similar to "confBAD_RCPT_THROTTLE")
define(`MaxNOOPCommands', `5')dnl

Vous pouvez également utiliser la fonction GreetPause, qui rejettera ces clients car il est peu probable qu'ils respectent la pause. Vous pouvez en savoir plus à ce sujet ici : http://www.deer-run.com/~hal/sysadmin/greet_pause.html

dnl # New feature in v8.13.1 (not listed in Companion)
dnl # Set time in milliseconds before sendmail will present its banner
dnl #   to a remote host (spammers won't wait and will already be
dnl #   transmitting before pause expires, and sendmail will
dnl #   refuse based on pre-greeting traffic) 5000=5 seconds
dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries
dnl #       in access table
FEATURE(`greet_pause',`5000')dnl
Répondu el 3 de Septembre, 2012 par Jeffrey Hantin (189 Points )

1voto

Sean avatar
Sean Points 905

J'installerais fail2ban et bloquer au premier ordre invalide.

Répondu el 3 de Septembre, 2012 par Sean (905 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X