是用feridoa & sendmail 的伺服器
前陣子有人帳號被盜,在大量的寄送信件,改了密碼就好了..
查看LOG晚上都有人持續的用POP3在試驗所用帳號登入
dovecot: pop3-login: Aborted login (1 authentication attempts): user=<robot>, method=PLAIN, rip=::ffff:213.7.247.229
dovecot: pop3-login: Aborted login (1 authentication attempts): user=<rose>, method=PLAIN, rip=::ffff:213.7.247.229
dovecot: pop3-login: Aborted login (1 authentication attempts): user=<rachel>,
請問有沒有什麼方法可以自動把它的IP加入拒絶清單或是中斷一個時間.
比如一個IP在一個時間內登錄錯誤幾次就先拒絶1小時之類的.
因為雖然那IP在短期內一樣,即使我擋掉後,它也會換一組IP,所以它應該也是跳板或盜用的吧..
或是請教大大們有什麼方法可以處理呢?
已邀請的邦友 {{ invite_list.length }}/5
加入底下四行的 iptables 指令:
<pre class="c" name="code">iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name MAIL_AUTH --set
iptables -A INPUT -p tcp -s ! 127.0.0.1 --dport 25 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name MAIL_AUTH -j DROP
iptables -A INPUT -p tcp -s ! 127.0.0.1 --syn --dport 25 -m connlimit --connlimit-above 2 -j DROP
前三個指令的意思是:在 300 秒之內,連超過兩次 25 port 的 IP 就拒絕連線。
後一個指令的意思是:同一時間內,來自同一個 IP 不得連 25 port 超過兩個連線。第二個連線以上就會被拒絕。
你可以按照你家的 mail server 做調配。
設好後就沒白目敢再 try 你家的 mail server 了。因為會讓他家的掃描嚴重 delay。
如果要使用fail2ban,而且有個人的設定,建議將個人設定放在「fail2ban.local」或「jail.local」。另外剛開始使用時,建議要查看log以確認fail2ban是否有正常運作;同時可使用指令「iptables -L」,查看是否有fail2ban加入的規則。
若一時無法將fail2ban設定完整,建議使用wiseguy大大的方法。
謝謝。
我沒有這麼厲害自己架構
但推薦瑞鑫資訊 MX MAIL,物美價廉,系統穩定、功能齊全
免費更新:
提供電子郵件系統、網頁式郵件、管理維護、LiveCD光碟內建OS作業系統、免安裝設定
LiveKey ISO檔案,支援虛擬化與異地備援服務
郵件備份稽核審閱、垃圾信件過濾、網頁伺服器、FTP、LDAP、DHCP、自動鏡射備份…等功能
iThome鐵人賽
看影片追技術