iT邦幫忙

0

郵件伺服器一直有外部IP嘗試登入

Dec 24 17:09:32 mail postfix/smtpd[9227]: disconnect from unknown[213.79.118.83]
Dec 24 17:09:31 mail postfix/smtpd[9227]: warning: unknown[213.79.118.83]: SASL LOGIN authentication failed: authentication failure
Dec 24 17:09:30 mail postfix/smtpd[9227]: connect from unknown[213.79.118.83]

請問要怎麼防止這種事件,一直有外部不同IP在試著登入。
有試著用IP阻擋但效果不大,因為IP會一直更換。
公司有FG-100D有買UTM授權,可以在防火牆端做阻擋嗎?

ayu iT邦好手 5 級 ‧ 2018-12-26 23:57:45 檢舉
UNIX平台的話, 考慮用 fail2ban 幫你擋!
保守的可用穩定版0.8.14 ;
有興趣敢玩的可用0.11.x , 阻擋時間可隨次數增加而自動拉長. 但不是愈新愈強, dev3就比dev1差.
還有一定要再觀察是否真的如願擋下, 有需要時可自訂條件/規則改進過濾效果.
硬體防火牆很難擋住這些變化多樣的嘗試入侵.
基本上只要有郵件伺服器或網域就會這樣,除非你架設一個VPN伺服器,然後關閉外部IP可以登郵件伺服器,每一個出外的工作者要收發郵件就是要先連線VPN,只要開放外部IP可連線就一定會這樣(其實不開放網域也是會一直被攻擊),就看你怎麼阻擋而已
0
mytiny
iT邦大師 1 級 ‧ 2018-12-26 20:15:57

樓主如果有開放FG-100D讓外部IP可以登郵件伺服器
請問防火牆要如何識別來的人不是貴公司的員工(或主管)
簡單說,就是樓主現行這樣開放的方式就是辦不到

最好的辦法,就是不要開放外部IP連郵件伺服器
所有外部員工要登郵件伺服器收發信,
請乖乖先登SSL-VPN,登進後再連郵件伺服器

樓主要是巴拉巴拉說什麼主管會抗議
還有什麼不方便,要在家收郵件工作等等
那就等著發生資安事件吧
小弟決不是危言聳聽,也不是威脅
只是看多了,說到嘴破皮還被人嫌的事件
出事了,還學不乖的,也是有

0
yyliu
iT邦研究生 2 級 ‧ 2018-12-26 22:33:54

我服務的公司也有類似的攻擊
也曾有過伺服器被攻擊到停擺的情況
到後來改用此方法解決 POP3 攻擊
因各分公司或外點都採用固定 IP 或以@ip.hinet.net 取得固定IP
故對 POP3 協定作白名單
非白明單內的用戶就僅能使用 POP3S (995) 收信

在防火牆就把那些討人厭以字典式猜帳號的 POP3 攻擊給排除掉了
提供參考

0
yesongow
iT邦大師 1 級 ‧ 2018-12-27 00:31:53

SMTP 25 Port不能關,但是你可以關閉郵件主機的寄件認證功能吧!

我要發表回答

立即登入回答