Exim ломают из вне. Как защититься?

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
s@sh@
мл. сержант
Сообщения: 82
Зарегистрирован: 2006-11-15 12:18:30

Exim ломают из вне. Как защититься?

Непрочитанное сообщение s@sh@ » 2010-10-25 12:34:57

Доброго времени суток!
Есть такая фигня в логах. Как бороться?
Брутфорсят с разних ip в разное время. Складывается ощущение что целенаправлено, такая фигня в основном на выходных ночью .

Код: Выделить всё

2010-10-23 00:03:41 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:44 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:46 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:48 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:50 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:52 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:54 [70344] SMTP call from (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25 dropped: too many nonmail commands (last was "AUTH")
2010-10-23 00:03:54 [70344] no MAIL in SMTP connection from (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25 D=14s C=EHLO,AUTH,RSET,AUTH,RSET,AUTH,RSET,A
UTH,RSET,AUTH,RSET,AUTH,RSET
2010-10-23 00:03:58 [70347] no host name found for IP address 222.35.137.166
2010-10-23 00:03:58 [70347] H=(51Logon.com) [222.35.137.166]:36865 I=[90.91.xx.xx]:25 F=<mpnasbo@globomail.com> rejected RCPT <commerc@SOMEDOMAIN.ua>: "Too m
any dots in hostname : "
2010-10-23 00:03:58 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:58 [70347] H=(51Logon.com) [222.35.137.166]:36865 I=[90.91.xx.xx]:25 incomplete transaction (QUIT) from <mpnasbo@globomail.com>
2010-10-23 00:04:00 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:02 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:04 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:07 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:09 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:11 [70348] SMTP call from (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25 dropped: too many nonmail commands (last was "AUTH")
2010-10-23 00:04:11 [70348] no MAIL in SMTP connection from (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25 D=14s C=EHLO,AUTH,RSET,AUTH,RSET,AUTH,RSET,A
UTH,RSET,AUTH,RSET,AUTH,RSET 

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2520 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение FreeBSP » 2010-10-25 13:08:05

bruteblock
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
s@sh@
мл. сержант
Сообщения: 82
Зарегистрирован: 2006-11-15 12:18:30

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение s@sh@ » 2010-10-25 13:21:03

bruteblock
отчасти согласен, правда, юзаю pf. Под него кто-то чего-то посоветует?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение FreeBSP » 2010-10-25 14:02:06

включи ipfw с парой правил и все

Код: Выделить всё

100 deny   all   from  table(1) to   any
200 deny   all   from   any     to  table(1)
300 allow  all    from   any     to   any
65535 ...
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
s@sh@
мл. сержант
Сообщения: 82
Зарегистрирован: 2006-11-15 12:18:30

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение s@sh@ » 2010-10-25 14:45:33

есть еще варианты?

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение gonzo111 » 2010-10-25 14:49:00

monit
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение Laa » 2010-10-25 16:01:56

Делать rate-limit для тех хостов, с которых криво аутентифицируются.
У меня так сделано.
Пяток попыток неправильных и на сутки не пускаем. Бывают ложные срабатывания, но по телефону их вносим во временный белый список.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
s@sh@
мл. сержант
Сообщения: 82
Зарегистрирован: 2006-11-15 12:18:30

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение s@sh@ » 2010-10-25 17:54:03

Laa писал(а):Делать rate-limit для тех хостов, с которых криво аутентифицируются.
У меня так сделано.
Пяток попыток неправильных и на сутки не пускаем. Бывают ложные срабатывания, но по телефону их вносим во временный белый список.
Т.е.
использовать что-то типа

Код: Выделить всё

 dom_acl_smtp_connect:
drop
log_message = RATELIMIT BAD AUTH: $sender_rate / $sender_rate_period
message = Too many failed authentication 
ratelimit = 20 / 1h / noupdate / badauth:$sender_host_address
delay = 5s 
или как-то подругому?

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение mediamag » 2010-10-30 20:36:17

у меня тоже бывает брутфорс и преимущественно ночью, поставил fail2ban - ищет в логе экзима заданные мной словосочитания и после N совпадений заносит айпи в таблицу ipfw..правила написать не составит труда, примеров настройки fail2ban куча в инете

Аватара пользователя
s@sh@
мл. сержант
Сообщения: 82
Зарегистрирован: 2006-11-15 12:18:30

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение s@sh@ » 2010-12-20 22:59:07

Где-то в инете почитал, решил сделать так как там написаною Выглядит приблизительно так:
в configure

Код: Выделить всё

acl_smtp_connect:
.include_if_exists /usr/local/etc/exim/includes/150.acl_check_smtp_connect.conf
acl_smtp_quit:
.include_if_exists /usr/local/etc/exim/includes/151.acl_smtp_quit.conf
acl_smtp_notquit:
.include_if_exists /usr/local/etc/exim/includes/152.acl_smtp_nonquit.conf

Код: Выделить всё

BADAUTH_LIMIT = 30 / 1d
соответсвенно в 150.acl_check_smtp_connect.conf

Код: Выделить всё

drop message   = Too many failed authentication attempts
     log_message = RATELIMIT BAD AUTH: $sender_rate / $sender_rate_period
     ratelimit = BADAUTH_LIMIT / noupdate / badauth:$sender_host_address
     delay = 10s
accept
в 151.acl_smtp_quit.conf

Код: Выделить всё

accept condition = ${if eq{$authentication_failed}{1}}
ratelimit = BADAUTH_LIMIT / badauth:$sender_host_address
в 152.acl_smtp_nonquit.conf

Код: Выделить всё

accept condition = ${if eq{$authentication_failed}{1}}.
       ratelimit = BADAUTH_LIMIT / badauth:$sender_host_address
Но в логах всеравно:

Код: Выделить всё

2010-12-16 16:32:46 [81232] SMTP call from (qsrtyaaj.com) [190.56.167.10]:54590 I=[89.xxx.xxx.xxx]:25 dropped: too many nonmail commands (last was "RSET")
2010-12-16 16:32:46 [81232] no MAIL in SMTP connection from (qsrtyaaj.com) [190.56.167.10]:54590 I=[89.xxx.xxx.xxx]:25 D=7s C=EHLO,AUTH,RSET,AUTH,RSET,AUTH,RSET,AUTH
2010-12-16 16:32:48 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
2010-12-16 16:32:50 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
2010-12-16 16:32:52 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
2010-12-16 16:32:54 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
Почему не отрубает?

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение blade_007 » 2010-12-20 23:28:08

вот здесь

Код: Выделить всё

badauth:$sender_host_address
что такое badauth?

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение blade_007 » 2010-12-21 11:16:45

ratelimit ограничивает число соединений, а не попыток!!!!!
Так что может быть много неудачных попыток аутентификации в одном соединении. Количество этих NONMAIL-команд ограничивается опцией smtp_accept_max_nonmail (по умолчанию 10).
Как то так.

freeetu
проходил мимо

Re: Exim ломают из вне. Как защититься?

Непрочитанное сообщение freeetu » 2013-03-12 21:29:25

можно ли fail2ban попросить пробежать по логу заново после его перезагрузки ?