郵件伺服器一直有外部IP嘗試登入 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

郵件伺服器一直有外部IP嘗試登入

防火牆 postfix smtp domlinux 郵件伺服器

arvin423 2018-12-26 17:26:29 ‧ 4732 瀏覽

分享至

Dec 24 17:09:32 mail postfix/smtpd[9227]: disconnect from unknown[213.79.118.83]
Dec 24 17:09:31 mail postfix/smtpd[9227]: warning: unknown[213.79.118.83]: SASL LOGIN authentication failed: authentication failure
Dec 24 17:09:30 mail postfix/smtpd[9227]: connect from unknown[213.79.118.83]

請問要怎麼防止這種事件，一直有外部不同IP在試著登入。
有試著用IP阻擋但效果不大，因為IP會一直更換。
公司有FG-100D有買UTM授權，可以在防火牆端做阻擋嗎?

ayu iT邦好手 2 級 ‧ 2018-12-26 23:57:45 檢舉

UNIX平台的話, 考慮用 fail2ban 幫你擋!
保守的可用穩定版0.8.14 ;
有興趣敢玩的可用0.11.x , 阻擋時間可隨次數增加而自動拉長. 但不是愈新愈強, dev3就比dev1差.
還有一定要再觀察是否真的如願擋下, 有需要時可自訂條件/規則改進過濾效果.
硬體防火牆很難擋住這些變化多樣的嘗試入侵.

gn0912211119 iT邦新手 3 級 ‧ 2018-12-27 11:34:42 檢舉

基本上只要有郵件伺服器或網域就會這樣，除非你架設一個VPN伺服器，然後關閉外部IP可以登郵件伺服器，每一個出外的工作者要收發郵件就是要先連線VPN，只要開放外部IP可連線就一定會這樣(其實不開放網域也是會一直被攻擊)，就看你怎麼阻擋而已

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

3 個回答

0

mytiny

iT邦超人 1 級 ‧ 2018-12-26 20:15:57

樓主如果有開放FG-100D讓外部IP可以登郵件伺服器
請問防火牆要如何識別來的人不是貴公司的員工(或主管)
簡單說，就是樓主現行這樣開放的方式就是辦不到

最好的辦法，就是不要開放外部IP連郵件伺服器
所有外部員工要登郵件伺服器收發信，
請乖乖先登SSL-VPN，登進後再連郵件伺服器

樓主要是巴拉巴拉說什麼主管會抗議
還有什麼不方便，要在家收郵件工作等等
那就等著發生資安事件吧
小弟決不是危言聳聽，也不是威脅
只是看多了，說到嘴破皮還被人嫌的事件
出事了，還學不乖的，也是有

回應
分享
檢舉

登入發表回應

0

yyliu

iT邦研究生 2 級 ‧ 2018-12-26 22:33:54

我服務的公司也有類似的攻擊
也曾有過伺服器被攻擊到停擺的情況
到後來改用此方法解決 POP3 攻擊
因各分公司或外點都採用固定 IP 或以@ip.hinet.net 取得固定IP
故對 POP3 協定作白名單
非白明單內的用戶就僅能使用 POP3S (995) 收信

在防火牆就把那些討人厭以字典式猜帳號的 POP3 攻擊給排除掉了
提供參考

回應
分享
檢舉

登入發表回應

0

yesongow

iT邦大師 1 級 ‧ 2018-12-27 00:31:53

SMTP 25 Port不能關，但是你可以關閉郵件主機的寄件認證功能吧！

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22199 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙