Berurusan dengan serangan perintah SMTP tidak valid


8

Salah satu server email semi-sibuk (sendmail) kami memiliki banyak koneksi inbound selama beberapa hari terakhir dari host yang mengeluarkan perintah sampah.

Dalam dua hari terakhir:

  • koneksi smtp masuk dengan perintah tidak valid dari 39.000 IP unik
  • IP berasal dari berbagai rentang di seluruh dunia, bukan hanya beberapa jaringan yang dapat saya blokir
  • server email melayani pengguna di seluruh amerika utara, jadi saya tidak bisa hanya memblokir koneksi dari IP yang tidak dikenal
  • contoh perintah buruk: http://pastebin.com/4QUsaTXT

Saya tidak yakin apa yang seseorang coba capai dengan serangan ini, selain mengganggu saya.

ada ide tentang apa ini, atau bagaimana cara mengatasinya secara efektif?


1
Karena traffic ini tidak ada hubungannya dengan smtp, saya ingin tahu apakah beberapa layer 7 firewall dapat menjatuhkannya sebelum mencapai sendmail.

Jawaban:


4

Berikut adalah setidaknya satu opsi untuk menjebak koneksi ini setelah mereka mulai meludahkan kesalahan. Klien yang valid dan berperilaku baik tidak boleh jatuh ke dalam tarpit ini.

dnl # New option in v8.14.0
dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP
dnl #   commands) before daemon will throttle connection by slowing
dnl #   error message replies (similar to "confBAD_RCPT_THROTTLE")
define(`MaxNOOPCommands', `5')dnl

Anda juga dapat menggunakan fitur GreetPause, yang akan menolak klien ini karena mereka tidak menghargai jeda. Anda dapat membaca lebih lanjut tentang ini di sini: http://www.deer-run.com/~hal/sysadmin/greet_pause.html

dnl # New feature in v8.13.1 (not listed in Companion)
dnl # Set time in milliseconds before sendmail will present its banner
dnl #   to a remote host (spammers won't wait and will already be
dnl #   transmitting before pause expires, and sendmail will
dnl #   refuse based on pre-greeting traffic) 5000=5 seconds
dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries
dnl #       in access table
FEATURE(`greet_pause',`5000')dnl

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.