我注意到进入我服务器的 smtp 连接数快速增加,经过进一步调查,我发现有一个僵尸网络正在攻击我的 smtp 服务器。我尝试通过在 iptables 中添加规则来阻止它:
-N SMTP-BLOCK -A SMTP-BLOCK -m limit --limit 1/m --limit-burst 3 -j LOG --log-level notice --log-prefix "iptables SMTP-BLOCK " -A SMTP-BLOCK -m recent --name SMTPBLOCK --set -j DROP -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name SMTPBLOCK --rcheck --seconds 360 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name SMTP --set -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name SMTP --rcheck --seconds 60 --hitcount 3 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
这样可以避免他们“太快”地攻击,但问题仍然存在,每秒有 5 次尝试,这太疯狂了,我不得不增加 sendmail/dovecot 的最大子节点数。有太多的 ip 需要手动过滤,而简单地将 smtp 更改为另一个端口并不实际,因为我在该服务器上有许多其他客户端。
我正在使用带有 dovecot 的 sendmail,有什么方法可以更有效地过滤掉它?
答案1
我倾向于确保您拥有备用 MX 主机;然后阻止除备用 MX 主机之外的所有机器访问您的端口 25。入站合法邮件将被递送到备用 MX 主机,后者可以将其递送给您;但不是发往您的系统且来自已知良好主机的入站邮件将无处可去。
(“备份 MX 主机”甚至可以是您的另外一台机器,甚至是您按小时租用几天的 VPS/云机器。)
不要与僵尸网络进行军备竞赛——它增加流量的速度比你增加带宽和服务器的速度还快。
听起来你可能在一台机器上有很多客户端/域,这会增加更多工作量。抱歉。
您可以考虑移动到新的 IP 地址和/或将受到攻击的主机的 A 记录更改为 127.0.0.1,并为服务器找到一个新名称 - 垃圾邮件发送者很有可能转向另一个受害者并留下您的新主机名/IP 地址。