無差別代入攻撃からpostfixを保護

無差別代入攻撃からpostfixを保護

数日前、Debian / Wheezyでpostfix + procmailを使用するプライベートSMTPサービスを含むVPSを設定しました。

私はSMTPと他のポートへの多くの攻撃を見てきました。以下は抜粋です:

7月31日 09:06:25 [myserver] postfix/smtpd[15372]: 警告: mail.thethirdroom.org[81.137.228.117]: SASL ログイン認証失敗: 認証失敗 7月31日 10:00:02 [myserver ] postfix/smtpd [20616]: 警告: host245-192-static.36-88-b.business.telecomitalia.it[88.36.192.245]: SASL ログイン認証失敗: 認証失敗

毎秒数回のログイン試行があります。今では、人々が無差別代入攻撃をするのを防ぐためにsshguardを実行していますが(分散試行でない限り)、postfixはsshguardがそれをサポートしていないため、まだ脆弱です。

誰でもこれをより安全にする方法を教えてもらえますか?

ありがとうございます!

重要な要約:SMTPサーバーはn回の間違った試みの後に攻撃を受け、IPを禁止しようとします。

答え1

このツールをチェックしてください2Ban失敗、ログファイルで悪意のあるアクティビティを調べ、イベントをトリガーします。問題のあるIPを拒否するためにファイアウォールを作成するなどの病気のイベントハンドラがあるか、カスタムイベントハンドラを直接作成できます。

答え2

sshguardにパッチを適用して再コンパイルできる場合は、Postfix SASL検出を追加するパッチを作成しました。ここから得ることができます:

http://www.djs.to/2013/10/1-postfix-sasl-support-for-sshguard/

このパッチは非常に簡単です。 sshguard のログファイルパーサーを拡張して、説明する形式の SASL 失敗メッセージを検出します。したがって、SASLログインが失敗した場合、sshguardによってキャプチャされた他のものと同様に、IPアドレスは禁止されます。

関連情報