1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Para quem tem servidor de email pessoal:

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por xupetas, 8 de Abril de 2008. (Respostas: 4; Visualizações: 699)

  1. xupetas

    xupetas Banido

    Vivam,

    Na sequência do build up da Storm e agora o aparecimento da Kraken, achei que era altura de colocar aqui uma pequena nota de como se defenderem destas botnets.
    No meu caso diminuiu o load por spam no servidor de 100 ligações concorrentes de smtpd para 10 ....

    Ps: para quem não sabe o que é a Storm ou a Kraken ver isto

    Para quem tem linux:

    Instalem o fail2ban, com a seguinte alteração no ficheiro jail.conf que está em /etc/fail2ban:


    [postfix-tcpwrapper]

    enabled = true
    filter = postfix
    action = iptables[name=POSTFIX, port=smtp, protocol=tcp]
    sendmail[name=Postfix, [email protected]]
    logpath = /var/log/mail
    bantime = 43200
    maxretry = 2


    E em seguida alterem o ficheiro postfix.conf que se encontra em /etc/fail2ban/filter.d:


    # Fail2Ban configuration file
    #
    # Author: Cyril Jaquier
    #
    # $Revision: 510 $
    #

    [Definition]

    # Option: failregex
    # Notes.: regex to match the password failures messages in the logfile. The
    # host must be matched by a group named "host". The tag "<HOST>" can
    # be used for standard IP/hostname matching and is only an alias for
    # (?:::f{4,6}:)?(?P<host>\S+)
    # Values: TEXT
    #
    failregex = reject: RCPT from (.*)\[<HOST>\]: 450 4.1.1

    # Option: ignoreregex
    # Notes.: regex to ignore. If this regex matches, the line is ignored.
    # Values: TEXT
    #
    ignoreregex =


    Notem que adicionei a expressão RCPT from com o erro de 450 (utilizador nao encontrado).
    Isto irá fazer que mais que duas tentativas em menos de 30 segundos de entrega de e-mail a utilizadores não existentes irá fazer que o servidor que se encontre a enviar o spam fique silently banned por regra de iptables. Este ban durará 43200 segundos (segundo a minha configuração e é totalmente configurável.)

    Isto está feito para postfix, mas é facilmente adaptável para qmail ou para sendmail ou wtv. O que tem que estar acessível é o ficheiro de logs do serviço de mail.

    Para quem tem Windows:

    Compre software que faça isto... ou então mude para Linux.
     
  2. o codigo de erro do RCPT para user não encontrado não é 550 ?
     
  3. xupetas

    xupetas Banido

    nope... 550 é mailbox nao local ou nao disponivel. não é utilizador não existente.

    ou seja é o erro caso o servidor seja store and forward e já tenha atingido o maximo da queue que aguenta para esse dominio, ou esteja com a mbox lockada (so para dar dois exemplos)
     
  4. Entendi, thks.

    Já agora, quais deverão ser os previlégios de R/W nos dois .conf que acima descreves?
    Poderão ser 'escalaveis' os previlégios dos .conf por algum motivo?
     
  5. xupetas

    xupetas Banido

    root:root 640... e a respeito do escaláveis..... lol... se bem q n escalas mto mais q root
     

Partilhar esta Página