今天,我对我的 pop3-dovecot 服务器进行了公然的攻击,邮件日志中充满了(200MB)此类信息:
Nov 11 09:28:14 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<shawn>, method=PLAIN, rip=200.233.152.111, lip=myip
Nov 11 09:28:14 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<shop>, method=PLAIN, rip=200.233.152.111, lip=myip
Nov 11 09:28:14 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<sitetest>, method=PLAIN, rip=200.233.152.111, lip=myip
Nov 11 09:28:14 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<solar>, method=PLAIN, rip=200.233.152.111, lip=myip
Nov 11 09:28:15 lax dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<services>, method=PLAIN, rip=200.233.152.111, lip=myip
我刚刚用 iptables 封锁了攻击者的 IP
-A INPUT -s 200.233.152.111 -j DROP
但此操作可随时从其他 IP 继续。
我的问题是:有什么方法可以禁止任何人连接我的 pop3 服务器(除了我之外?)因为我的 IP 是 ISP 端的动态 IP,所以我不知道如何让 pop3 服务器知道我连接的正是这个 IP。提前谢谢您!
答案1
对你的问题的确切答案是设置一个 VPN(即通过安装和配置 OpenVPN),然后配置 Dovecot 和/或iptables使得只有通过 VPN 连接的人才能访问 POP3 服务。
但是,您可能需要遵循的另一个操作方案是进行安装,fail2ban使得单个 IP 尝试过多失败的连接(例如正在进行暴力攻击的 IP)在一定时间内被禁止再次连接。
Dovecot 的 wiki 上有一些说明关于如何做到这一点。
答案2
最简单的做法是更改端口。它无法阻止非常顽固的攻击者,但可能足以阻止那些寻找唾手可得的果实的人。
您还应该设置 fail2ban 或类似程序。当登录失败次数过多时,它会自动将 IP 列入黑名单。