我面临一个问题,需要你的专家意见。
我在directadmin中经常收到来自俄罗斯和中国等地ips的暴力攻击警告。
这些信息有点像
Feb 27 04:31:15 host1 dovecot[2387]: pop3-login: Aborted login (auth failed, 1 attempts in 2 secs): user=<[email protected]>, method=PLAIN, rip=194.63.XXX.XXX, lip=XX.XX.99.210, session=<aC8bgAkQ2ADCP45l>
Feb 27 04:31:05 host1 exim[2385]: exim: Aborted login (auth failed, 10 attempts in 20 secs): user=<[email protected]>, method=PLAIN, rip=194.63.XXX.XXX, lip=XX.XX.99.210, session=<aC8bgAkQ2ADCP45l>
它不是一个商业主机,因此只有4-5个不同的IP地址实际登录到电子邮件客户端检查电子邮件。
所以我决定把这个放在/etc/csf/csf.deny中来阻止所有IP地址访问端口25465587。
tcp:in:d=25:s=0.0.0.0/0
tcp:in:d=465:s=0.0.0.0/0
tcp:in:d=587:s=0.0.0.0/0
我允许我的IP地址在/etc/csf/csf中。
这是个好主意吗?
外面的世界还能给我发邮件吗?端口25被阻塞?
tcp:in:d=25:s=124.12.0.0/20
tcp:in:d=465:s=124.12.0.0/20
tcp:in:d=587:s=124.12.0.0/20
请告知。
非常感谢。
服务器:debian gnu/linux 7.5 x86_64/direct admin/csf防火墙
最佳答案
一个好的解决方案是使用fail2ban。
fail2ban是一个后台程序,用于禁止导致多个身份验证错误的主机
它使用iptables来完成这项工作。
默认情况下,它不会阻止SMTP攻击,但您可以编辑其配置文件,如下所示:
[...]
[sendmail]
enabled = true
port = smtp,ssmtp
filter = sendmail
logpath = /var/log/mail.log
bantime = 28800
action = iptables-multiport[name=sendmail, port="pop3,imap,smtp,pop3s,imaps,smtps", protocol=tcp]
只需确保路径和端口与您的配置是正确的。