我的 Ubuntu 服务器上安装了 Postfix、Dovecot 和 Amavis。最近,我每 4 分钟就会收到来自 IP 155.133.82.96 的连接,该 IP 似乎是 Windows XP,可能带有病毒。无论如何,我找到了方法(经过大量 Google 搜索)来让我的 Postfix 不延迟客户端访问检查,并且我拒绝了该 IP。但是,它会持续一段时间。
我想找到一种更彻底的方法,在检查完成并且 IP 未通过检查时强制断开 IP 连接。我该怎么做?(我寻求的是 Postfix 解决方案,而不是 iptables 或类似解决方案)
答案1
此地址是波兰供应商提供服务的网络的一部分: http://www.tcpiputils.com/browse/ip-address/155.133.82.96
我还经常扫描来自该网络的 MTA,主要是/仅用于 SASL 登录中断尝试。我建议远离这些东西:
据我所知,仅使用 Postfix 的解决方案是不可能的。但您可以使用 postgrey/cbpolicyd 或类似的守护进程或 smtpd_client_restrictions 表来处理黑名单。但这是一些反复的手动工作……
更好地使用 fail2ban:apt-get install fail2ban
http://www.fail2ban.org/wiki/index.php/Main_Page
它可以很好地检查此类入侵尝试,并在防火墙中禁止该 IP 10 分钟(默认)。基本规则通常足以帮助遏制此类扫描。- 此外,您还可以将 fail2ban 的活动记录到数据库中,以计算 IP 被禁止的次数。根据这些数据,我会在 7 天内阻止所有被禁止超过 25 次的入侵者。防火墙每小时更新一次。
- 通常是一个隐晦的概念:如果您独自使用此邮件系统,请考虑在 Postfix master.conf 中为您的传递选择一个非标准端口:
smtp inet n - n - - smtpd **-o smtpd_sasl_auth_enable=no**
smtps inet n - n - - smtpd **-o smtpd_sasl_auth_enable=no**
**60666 inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes**SASL 扫描通常针对端口 25、465、567,如果没有答案,它们就会放弃。不要忘记在防火墙规则中额外允许这个非标准端口。我将这个概念用于没有客户端流量的备份 MX。
fail2ban 对于保护许多其他服务(如 sshd 或 httpd 等)非常有用,并且设置只需几分钟即可完成。