我的Ubuntu服务器上有Postfix,Dovecot和Amavis。 最近,我每4分钟一次从IP 155.133.82.96,似乎是Windows XP,也许有一个病毒的连接。 无论如何,我find了方法(经过大量的谷歌search),使我的Postfix不延迟客户端访问检查,我拒绝该IP。 然而,它保持了一段时间。
我想找一个更激进的办法强行断开IP当检查完成,IP没有通过它。 我怎样才能做到这一点? (我寻求一个Postfix的解决scheme,而不是iptables或类似的)
该地址是波兰提供商提供的networking的一部分: http : //www.tcpiputils.com/browse/ip-address/155.133.82.96
我也经常扫描来自该networking的MTA,大部分/仅用于SASLlogin中断尝试。 我build议保留这些东西:
据我所知,只有Postfix的解决scheme是不可能的。 但是您可以使用postgrey / cbpolicyd或类似的守护进程或smtpd_client_restrictions表来处理黑名单。 但是这是一些周期性的手动工作…
更好地使用fail2ban:apt-get install fail2ban
http://www.fail2ban.org/wiki/index.php/Main_Page
它非常好地检查这种入侵企图,并在防火墙中禁止IP 10分钟(默认)。 基本规则通常应该有助于遏制这种扫描。
smtp inet n - n - - smtpd **-o smtpd_sasl_auth_enable=no**
smtps inet n - n - - smtpd **-o smtpd_sasl_auth_enable=no**
**60666 inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes** 通常SASL扫描是针对端口25,465,567,如果没有答案,他们会放弃。 不要忘记在防火墙规则中另外允许使用这个非标准端口。 我正在使用这个概念来备份没有客户端stream量的MX。
fail2ban对于保护许多其他服务(如sshd或httpd等)是一件非常好的事情,安装过程在几分钟内完成。