作者 主題: postfix如有人惡意入侵時,可否做到像ftp那般可以主動擋ip  (閱讀 14899 次)

0 會員 與 1 訪客 正在閱讀本文。

wangfang

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
linux新手,請教各位大大
最近常有如下訊息
Feb 18 14:26:30 gpp postfix/smtpd[2293]: connect from msm.epaper.com.tw[211.20.188.92]
Feb 18 14:26:30 gpp postfix/smtpd[2293]: 7265C20404A: client=msm.epaper.com.tw[211.20.188.92]
Feb 18 14:26:30 gpp postfix/smtpd[2293]: warning: the "check_relay_domains" restriction is going away; use "reject_unauth_destination" instead
Feb 18 14:26:30 gpp postfix/smtpd[2293]: 7265C20404A: reject: RCPT from msm.epaper.com.tw[211.20.188.92]: 450 <k0017@mail.gpp.ks.edu.tw>: User unknown in local recipient table; from=<edm@msx.epaper.com.tw> proto=ESMTP helo=<msm.epaper.com.tw>
Feb 18 14:26:32 gpp postfix/smtpd[2293]: disconnect from msm.epaper.com.tw[211.20.188.92]
Feb 18 14:38:18 gpp postfix/smtpd[2334]: connect from msr71.hinet.net[168.95.4.171]
Feb 18 14:38:18 gpp postfix/smtpd[2334]: 7951020404A: client=msr71.hinet.net[168.95.4.171]
Feb 18 14:38:18 gpp postfix/smtpd[2334]: warning: the "check_relay_domains" restriction is going away; use "reject_unauth_destination" instead
Feb 18 14:38:18 gpp postfix/smtpd[2334]: 7951020404A: reject: RCPT from msr71.hinet.net[168.95.4.171]: 450 <K0008@mail.gpp.ks.edu.tw>: User unknown in local recipient table; from=<fjliu@ms27.hinet.net> proto=ESMTP helo=<msr.hinet.net>
Feb 18 14:38:19 gpp postfix/smtpd[2334]: 7951020404A: reject: RCPT from msr71.hinet.net[168.95.4.171]: 450 <K0007@mail.gpp.ks.edu.tw>: User unknown in local recipient table; from=<fjliu@ms27.hinet.net> proto=ESMTP helo=<msr.hinet.net>
Feb 18 14:38:20 gpp postfix/smtpd[2334]: 7951020404A: reject: RCPT from msr71.hinet.net[168.95.4.171]: 450 <K0006@mail.gpp.ks.edu.tw>: User unknown in local recipient table; from=<fjliu@ms27.hinet.net> proto=ESMTP helo=<msr.hinet.net>
Feb 18 14:43:22 gpp postfix/smtpd[2334]: timeout after RSET from msr71.hinet.net[168.95.4.171]
Feb 18 14:43:22 gpp postfix/smtpd[2334]: disconnect from msr71.hinet.net[168.95.4.171]
應該是有人惡意想要入侵,一直做測試,不知postfix可否擋掉這種動作,像ftp那般,如有人惡意測試入侵時,如果超過一定次數以上時,主動擋掉該ip
或是我誤會了呢?
請各位先進指教...
無限感激.............

wangfang

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
看來都沒有人回答
唉~~~~

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17413
    • 檢視個人資料
    • http://www.study-area.org
study_code: 14.09

wangfang

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
沒錯!!我也想使用這種方法
然而重點是沒有人可以互動
所以遲遲無法見到可以回答的人
而且這種訊息一直困擾著我.....找不到解決方法~~~~~
所以才來求救的
不然我都會看書自己找,或者看其它網路文章

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
Sorry!
有這功能嗎?

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
如果postfix本身就沒有這種功能,除非自己修改source code,加入這些功能或是等postfix.org加入這項功能

印象中是沒有這項功能的,也許現階段除了修改source code之外就是以shell script去分析mail log,在利用iptables , ipfilter這些firewall去阻擋對方的來源

我想您不需要太介意沒人回答,因為您的問題已經超過了小弟本身跟一些學長們的能力範圍

protech

  • 活潑的大學生
  • ***
  • 文章數: 322
  • 性別: 男
    • 檢視個人資料
postfix 有內建這個功能 , 去找我的設定檔有中文說明 ..

不過只暫時限制 , 不能永久擋下 ..

如果要永久擋下 , 配合他的規則檔可以達成 ...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17413
    • 檢視個人資料
    • http://www.study-area.org
引述: "wangfang"
沒錯!!我也想使用這種方法
然而重點是沒有人可以互動
所以遲遲無法見到可以回答的人

study_code: 14.09 意思是說: 我也不會

protech

  • 活潑的大學生
  • ***
  • 文章數: 322
  • 性別: 男
    • 檢視個人資料
網大不知還有沒有其他的訊息碼 , 一次列表出來吧 ...:-)

protech

  • 活潑的大學生
  • ***
  • 文章數: 322
  • 性別: 男
    • 檢視個人資料
找到貼出可以用的部份 ..

# 用戶端主機名/位址限制
# reject_unknown_client:如果用戶端的ip位址在DNS中沒有PTR記錄則拒絕轉發該用戶端的連接請求。
# reject_maps_rbl:如果用戶端的網路位址符合 $maps_rbl_domains 參數的值則拒絕該用戶端的連接請求。

smtpd_client_restrictions = reject_maps_rbl, hash:/etc/postfix/access, check_client_access pcre:/etc/postfix/client_checks

maps_rbl_domains = bl.spamcop.net relays.ordb.org blackholes.mail-abuse.org dialups.mail-abuse.org

# This parameter specifies an error count lower limit.
# When an SMTP client has made this number of errors within a session,
# the server waits error_count seconds before responding to any client request.
smtpd_soft_error_limit = 3

# This parameter specifies an error count upper limit.
# The SMTP server disconnects after an SMTP client makes this number of errors within a session.
smtpd_hard_error_limit = 4

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
引述: "protech"
找到貼出可以用的部份 ..

# 用戶端主機名/位址限制
# reject_unknown_client:如果用戶端的ip位址在DNS中沒有PTR記錄則拒絕轉發該用戶端的連接請求。
# reject_maps_rbl:如果用戶端的網路位址符合 $maps_rbl_domains 參數的值則拒絕該用戶端的連接請求。

smtpd_client_restrictions = reject_maps_rbl, hash:/etc/postfix/access, check_client_access pcre:/etc/postfix/client_checks

maps_rbl_domains = bl.spamcop.net relays.ordb.org blackholes.mail-abuse.org dialups.mail-abuse.org

# This parameter specifies an error count lower limit.
# When an SMTP client has made this number of errors within a session,
# the server waits error_count seconds before responding to any client request.
smtpd_soft_error_limit = 3

# This parameter specifies an error count upper limit.
# The SMTP server disconnects after an SMTP client makes this number of errors within a session.
smtpd_hard_error_limit = 4


但是此選項卻會一竿子打翻一船人.............
我想目前可能還是要從shell script來著手搭配postfix or iptables吧(但應該無法做到即時作用,除非有能力去改寫postfix source code,並增加此功能).....

protech

  • 活潑的大學生
  • ***
  • 文章數: 322
  • 性別: 男
    • 檢視個人資料
第 1 個選項是自己選擇的 , 你可以只用 check_client_access pcre:/etc/postfix/client_checks  這個 , 那裡面的 ip 都是你自己加的 ..

也可以用你說的那個 shell script 方式加 , 不會打到不相干的人 , 除非你自己誤判 ..

第 2 , 3 個參數 , 請依你自己網路的狀況來增加或決定他的數字 ..

我是從 10 , 5 一直減到 4 , 3 沒誤打過 ...:-)

畢竟從一個正常的 server 送信來我的 server , 還一直 error 就是有問題 , 不打他我還打水呢 ??

我剛剛查一下 , 大家不用設這 2 個參數了 , 預設值是 100 , 10 ..

也就是說大家都有設了 ....

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
引述: "protech"
第 1 個選項是自己選擇的 , 你可以只用 check_client_access pcre:/etc/postfix/client_checks  這個 , 那裡面的 ip 都是你自己加的 ..

也可以用你說的那個 shell script 方式加 , 不會打到不相干的人 , 除非你自己誤判 ..

第 2 , 3 個參數 , 請依你自己網路的狀況來增加或決定他的數字 ..

我是從 10 , 5 一直減到 4 , 3 沒誤打過 ...:-)

畢竟從一個正常的 server 送信來我的 server , 還一直 error 就是有問題 , 不打他我還打水呢 ??


舉個例子來說:
如果說公司的頻寬不足,在頻寬滿載的情況下,對方傳送資料至你的mail server發生了timeout等情況,此情形下就有可能會發生了誤判....(但想想,這算是的惡意行為嗎?)

所以我想在使用以上選項前,可能要先嘗試針對網路頻寬及連線數目來optimize你的mail server,以免發生了誤判

目前我在自已的環境裡是使用snort等IDS軟體,再搭配ThirdParty軟體來動態修改firewall rules,不過應該沒有MIS敢大膽使用在公司環境吧!!!!

protech

  • 活潑的大學生
  • ***
  • 文章數: 322
  • 性別: 男
    • 檢視個人資料
網路在乎活用 , 最好的方式就是起而行 ...^^

第 2 , 3 個參數 , 請依你自己網路的狀況來增加或決定他的數字 ..

我是從 10 , 5 一直減到 4 , 3 沒誤打過 ...

畢竟從一個正常的 server 送信來我的 server , 還一直 error 就是有問題 , 不打他我還打水呢 ??

protech

  • 活潑的大學生
  • ***
  • 文章數: 322
  • 性別: 男
    • 檢視個人資料
在提供一個很久以前我就提出的做法 , 就是動態防火牆 ..

在大陸和歐美已經有很多人有應用在 ISP 上了 ..

用來預防一般人的暴力功擊 ..

我認為我目前用不到 , 所以沒仔細研究 , 不過相關資料在網路上應該不少了 ..

我記得沒錯的話 , 我大概提出快 2 年了 , 當時只找到一篇小資料 ..

目前應該不難找 , 可以去研究一下  ..

程式是人在控制的 , 很多狀況都是可以控制的 ..

魚及熊掌不可兼得時 , 只好取其輕了 ...^^

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17413
    • 檢視個人資料
    • http://www.study-area.org
引述: "protech"
網大不知還有沒有其他的訊息碼 , 一次列表出來吧 ...:-)


更多資訊:
http://phorum.study-area.org/viewtopic.php?t=13484

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
引述: "protech"


程式是人在控制的 , 很多狀況都是可以控制的 ..

魚及熊掌不可兼得時 , 只好取其輕了 ...^^


沒錯......贊成!!!   ^_^

wangfang

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
感謝各位大大的支持
我已找到它的說明檔
它的參數將近100種以上
一時間不知使用
最後..
我終於發現了
如之前有位大大所post的
我使用了以下幾個參數
smtpd_hard_error_limit
maps_rbl_domains
smtpd_helo_required
smtpd_helo_restrictions
配合使用
可以達到上述效果
不知這樣可否
如有意見或是更好的方法
請各位再提出

看到各位大大那麼熱列討論,
真的很感激....
謝謝