我的一个邮件服务器(postfix,如果它很重要)已成为我认为是攻击的目标。 攻击者试图将邮件传递给不存在的用户,形成一个很长的hexstring,每秒发生一次SMTP会话。 以下是一个会话的片段:
In: MAIL FROM:<[email protected]> SIZE=2881 BODY=7BIT Out: 250 2.1.0 Ok In: RCPT TO:<[email protected] Out: 451 4.3.0 <[email protected]>: Temporary lookup failure In: RCPT TO:<[email protected]> Out: 451 4.3.0 <[email protected]>: Temporary lookup failure In: RSET Out: 250 2.0.0 Ok In: MAIL FROM:<[email protected]> SIZE=2881 BODY=7BIT Out: 250 2.1.0 Ok In: RCPT TO:<[email protected]> Out: 451 4.3.0 <[email protected]>: Temporary lookup failure In: QUIT Out: 221 2.0.0 Bye 任何人都知道这是什么,以及如何保护服务器? 谢谢。
看了这几天,在这里得到一些帮助onther网站是怎么回事:
显然我们正在处理一个盲emai地址收割机。 请注意,所有用户名(@之前的string)都是32个hex字符。 进入日志文件,我注意到这样的值出现在SMTP事务中的message-id中,但也作为实际消息中头部的一部分。
显然有一些收获的邮件地址,所有有“@”的东西都拿起来了。 问题是:这是从我们的日志文件或我们的邮件存储收获 – 一个非常严重的可能性,这将表明一个中断或从邮件列表等其他地方等事实certificate,每个types的SMTP服务器分配一个稍微不同的消息-id,所以检查日志并查询几个域,结果是由EXIM分配了32个字符长的消息ID。 松了一口气,我只用Postfix操作。
我的结论是,收割机是盲目地从可能的地方(可能来自邮件列表)挑选用户名和域名,并随机配对! 升级Postfix以便使用postscreen可以帮助修复configuration,以发出永久性错误,而不是临时错误。
所以没有攻击,真的,针对一个漏洞,只是盲目的消息。