我们的一个半忙邮件服务器(sendmail)在过去几天内发出了很多来自发出垃圾命令的主机的入站连接.
在过去的两天里:
>来自39,000个唯一IP的无效命令的传入smtp连接
> IP来自世界各地不同的范围,而不仅仅是我可以阻止的几个网络
>邮件服务器为整个北美地区的用户提供服务,因此我不能阻止来自未知IP的连接
>示例错误命令:http://pastebin.com/4QUsaTXT
除了烦我之外,我不确定有人试图用这次攻击来完成什么.
任何想法是什么,或如何有效地处理它?
解决方法
这里至少有一个选项可以在开始吐出错误后对这些连接进行tarpitting.有效且行为良好的客户端不应该落入此tarpit.
dnl # New option in v8.14.0 dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP dnl # commands) before daemon will throttle connection by slowing dnl # error message replies (similar to "confBAD_RCPT_THRottLE") define(`MaxNOOPCommands',`5')dnl
您还可以使用GreetPause功能,该功能将拒绝这些客户端,因为它们不太可能尊重暂停.你可以在这里阅读更多相关信息:http://www.deer-run.com/~hal/sysadmin/greet_pause.html
dnl # New feature in v8.13.1 (not listed in Companion) dnl # Set time in milliseconds before sendmail will present its banner dnl # to a remote host (spammers won't wait and will already be dnl # transmitting before pause expires,and sendmail will dnl # refuse based on pre-greeting traffic) 5000=5 seconds dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries dnl # in access table FEATURE(`greet_pause',`5000')dnl
