想請問各位先進大大
這問題困擾我一陣子了
問題如下
=========================================================================
接收連接器 Default Server-abc 的輸入驗證失敗,錯誤為 LogonDenied。驗證機制是 Login。嘗試驗證 Microsoft Exchange 的用戶端來源 IP 位址是 [89.248.171.132]。
=========================================================================
System
[ Name] MSExchangeTransport
[ Qualifiers] 32772
Level 3
Task 1
Keywords 0x80000000000000
[ SystemTime] 2016-11-30T01:39:18.000000000Z
EventRecordID 121385
Channel Application
==========================================================================
很明顯 這些都是假 IP 來自 中美洲、非洲、中國、加拿大的一堆 每天都發生
目前使用的是 Fortinet Fortigate 80C
UTM 都有開啟,就算使用本機防火牆把IP阻絕也會有阻絕上限
而且在 Log 中找不到也看不到用什麼 帳號來 Try
想請問各位先進大大是否有遇過這樣的問題,謝謝。
已邀請的邦友 {{ invite_list.length }}/5
我的作法是 exchange 不直接對外
用 linux 架一台 mail gateway 在 exchange 之前
既然是 linux 那可用的手段就很多了
最簡單的方式是 fail2ban
只要驗證錯誤超過3次,那個IP就會自動被加入拒絕連線清單
(預設10分鐘解禁,可以自己調)
將安全做好:該開的PORT 開,不該開的就鎖.
通知USER:不可設"白癡密碼"或是在SERVER上將密碼複雜度提高.
至於被測試連線的問題: 只能不理它.(因為不可能會處理完-可以被處理完那就不是駭客了.)
加油 !!
關於版大所述狀況,貴司FG-80C至少可協助以下作用
請說明所謂"本機防火牆把IP阻絕也會有阻絕上限"是何情況?
建議請版大的設備提供廠商給予技術支援服務
iThome鐵人賽
看影片追技術