Berurusan dengan serangan perintah SMTP tidak valid

Salah satu server email semi-sibuk (sendmail) kami memiliki banyak koneksi inbound selama beberapa hari terakhir dari host yang mengeluarkan perintah sampah.

Dalam dua hari terakhir:

• koneksi smtp masuk dengan perintah tidak valid dari 39.000 IP unik
• IP berasal dari berbagai rentang di seluruh dunia, bukan hanya beberapa jaringan yang dapat saya blokir
• server email melayani pengguna di seluruh amerika utara, jadi saya tidak bisa hanya memblokir koneksi dari IP yang tidak dikenal
• contoh perintah buruk: http://pastebin.com/4QUsaTXT

Saya tidak yakin apa yang seseorang coba capai dengan serangan ini, selain mengganggu saya.

ada ide tentang apa ini, atau bagaimana cara mengatasinya secara efektif?

Berikut adalah setidaknya satu opsi untuk menjebak koneksi ini setelah mereka mulai meludahkan kesalahan. Klien yang valid dan berperilaku baik tidak boleh jatuh ke dalam tarpit ini.

dnl # New option in v8.14.0
dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP
dnl #   commands) before daemon will throttle connection by slowing
dnl #   error message replies (similar to "confBAD_RCPT_THROTTLE")
define(`MaxNOOPCommands', `5')dnl

Anda juga dapat menggunakan fitur GreetPause, yang akan menolak klien ini karena mereka tidak menghargai jeda. Anda dapat membaca lebih lanjut tentang ini di sini: http://www.deer-run.com/~hal/sysadmin/greet_pause.html

dnl # New feature in v8.13.1 (not listed in Companion)
dnl # Set time in milliseconds before sendmail will present its banner
dnl #   to a remote host (spammers won't wait and will already be
dnl #   transmitting before pause expires, and sendmail will
dnl #   refuse based on pre-greeting traffic) 5000=5 seconds
dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries
dnl #       in access table
FEATURE(`greet_pause',`5000')dnl

Saya akan menginstal fail2ban dan memblokir perintah pertama yang tidak valid.