Mail Server三不五時遭受攻擊,是否有自動檔IP的機制?

amoswulin
個人積分：5分
文章編號：18782096

5分

樓主

2010-04-14 10:08

小弟的mail Server三不五時就會收到系統報告中,遠端IP不停的try mail 帳號/密碼,訊息如下

--------------------- pam_unix Begin ------------------------

dovecot:
Authentication Failures:
aaron rhost=38.99.83.30 : 33 Time(s)
abby rhost=38.99.83.30 : 33 Time(s)
abigail rhost=38.99.83.30 : 33 Time(s)
abraham rhost=38.99.83.30 : 33 Time(s)
abuse rhost=38.99.83.30 : 33 Time(s)
access rhost=38.99.83.30 : 33 Time(s)
account rhost=38.99.83.30 : 33 Time(s)
.
.
.
trainer rhost=38.99.83.30 : 32 Time(s)
zackary rhost=38.99.83.30 : 32 Time(s)
bogus rhost=38.99.83.30 : 31 Time(s)
Invalid Users:
Unknown Account: 32518 Time(s)

---------------------- pam_unix End -------------------------

在sshd上有自動擋IP的機制,但dovecot中,一直沒找到
哪位大大能給個提示阿....
真怕有一天真的被try到了....

多說明一下,我有安裝防火牆 APF(Advanced Policy Firewall)和BFD (Brute Force Detection)
sshd是利用BFD (Brute Force Detection)的機制阻擋暴力入侵

2010-04-14 10:08 發佈

文章關鍵字 Mail Server三自動檔機制 IP

Solaris2344

Solaris2344
個人積分：3960分
文章編號：18882304

3960分

2樓

2010-04-18 18:35

最簡單的方法

將該機器上E-Mail帳號的bash改成nologin;如此帳號密碼被猜中,對方還是無法登錄進該主機

擋IP是無法根絕的,每個IP的紀錄時間是多久??1小時,2小時,永久??如果一段時間後記錄清除,那代表又可以使用這個IP來try你的主機.....;況且有心要入侵你的主機,它所使用的IP一定可以不停的更換~~~
永久? ~~ 假設有台Mail主機要跟你的Mail主機talk,剛好該主機的IP是在你的永久紀錄中,該主機不就沒辦法寄信到你的主機了!!

Vanity is definitely my favorite Sin ~~~ "The Devil's Advocate" ~ John Milton

amoswulin

amoswulin
個人積分：5分
文章編號：18908186

5分

樓主

2010-04-19 18:27

嗯,被移掉了
重新回帖
感謝Solaris2344大大提示
目前都已先改為 nologin

只怕被猜出來當垃圾郵件發信者,就糟糕了

這幾天有找到針對POP3的暴力入侵攻擊所製作的pl
按其說明,是分析 log檔,在增加iptables的規則...
還不知道可不可行
缺點是..重新開機後,原本紀錄的,會被APF清除

要等下星期才有時間try了

Solaris2344

Solaris2344
個人積分：3960分
文章編號：18909901

3960分

4樓

2010-04-19 19:54

"只怕被猜出來當垃圾郵件發信者,就糟糕了"

這是每個網管人員都很頭疼的問題;小弟的做法是pop3認證過程中決定該使用者可否使用該郵件主機寄送信件的機制;好處是帳號密碼掌握在使用者手中,使用者遇到無法寄信時就可能是密碼錯誤;壞處是該使用者的密碼若是不夠嚴謹,容易被破解

另一個方式是自行設定一組帳號密碼,要郵件主機寄送信件時一定須通過該組帳號密碼的認證;好處是發球權在自己的手中,容易掌控任何的狀況;壞處是使用者可能得記住2組帳號密碼,他們會覺得很煩,不好用,端看自己的取捨了

小弟使用第一種方式於公司中,幾年來尚未遇過被破解的問題;當然一開始教育使用者知道這個問題的嚴重性是需要的;公司的郵件主機架設完成後就很少去管它(一個月去看看它一次吧,呵呵~~)

Vanity is definitely my favorite Sin ~~~ "The Devil's Advocate" ~ John Milton

thomasho

thomasho
個人積分：218分
文章編號：18910586

218分

5樓

2010-04-19 20:27

amoswulin wrote:
嗯,被移掉了重新回帖...(恕刪)

您可以使用fail2ban這個套件 http://www.fail2ban.org/wiki/index.php/Main_Page

會針對您設定的services檢查log,並將match的IP加進去iptables...

有支援pop3,smtp,ssh,http等...

而且可以自己設定要ban多久....時間一到自動從iptables裡移除....

amoswulin

amoswulin
個人積分：5分
文章編號：18913005

5分

樓主

2010-04-19 22:02

感謝Solaris2344及thomasho大大的建議
建立 E-Mail account 時,預設密碼都有加強密碼的強度,例如一定英數字混合
User 變更密碼時,必須透過 openwebmail...在變更密碼時,同樣有密碼強度的要求,才能順利變更密碼
E-Mail Server 也加入發信驗證密碼機制
有大大建議直接封鎖domain外的ip不得連接Mail Server,不過這是不可行的,小弟公司一堆業務在大陸地區到處跑（包含老闆..@@）
根本無固定domain 甚至 IP..
雖然目前並沒有被破密碼的跡象,但看到這種log總是不放心
thomasho所提供的fail2ban我會去try,有消息再跟兩位大大回覆..^_^
感謝啦

thomasho

thomasho
個人積分：218分
文章編號：18918514

218分

7樓

2010-04-20 1:21

amoswulin wrote:
感謝Solaris2...(恕刪)

要不要使用virtual user的方式來建帳號??

postfix,dovecot,openwebmail都支援~

這樣帳號就是" xxxx@aaa.com.tw"而且非本機帳號,安全性也提高了~

同時也設定dovecot auth,對於pop3的使用者做認證....認證通過才能寄信...

prottos2003

prottos2003
個人積分：10分
文章編號：18920396

10分

8樓

2010-04-20 7:47

要不然只要是收信就要透過SSL VPN才可以

一般從外部進來的IP 都利用firewall阻擋這樣可以檔掉大部份的traffic

再不然沒錢就用SSH Tunnel 但是這設定複雜，不太適合Client端使用XD

jpg

jpg
個人積分：11分
文章編號：19159439

11分

9樓

2010-04-29 19:57

推薦使用fail2ban。

提供我的jail.conf中跟dovecot有關的設定。

[dovecot]
enabled = true
filter = dovecot
action = iptables-multiport[name=Dovecot, port="pop3,pop3s,imap,imaps", protocol=tcp]
sendmail-whois[name=Dovecot, dest=收件者的郵件帳號, sender=寄件者的郵件帳號]
logpath = /var/log/secure
maxretry = 5

喵喵plus

喵喵plus
個人積分：28分
文章編號：20345265

28分

10樓

2010-06-19 11:07

to jpg

小弟有看您的文章

[dovecot]
enabled = true
filter = dovecot
action = iptables-multiport[name=Dovecot, port="pop3,pop3s,imap,imaps", protocol=tcp]
sendmail-whois[name=Dovecot, dest=收件者的郵件帳號, sender=寄件者的郵件帳號]
logpath = /var/log/secure
maxretry = 5

請問上面中文的部份是要打user名?

公司有好幾百個要打好幾百次?

還是說就是照那個中文打上去就好了??

小弟要架mail server

目前開放的是80.53.110.25等port

不知fail2ban如何設定?

請您指教一下