Доброго времени суток!В логах Exima очень много записей такого типа:
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <loe4149sqs1me@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <alexxus@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <ayat@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <kendel@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <kalie@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <eliverto@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <kashlyn@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <dillinger@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <jawon@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <jaleen@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <mcarthur@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <mearl@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <avilene@malwin.com>: Unknown user
2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <labria@malwin.com>: Unknown user...
Как можно ограничить, допустим, 5 а остальное все drop'ить? Или тут надо смотреть в сторону iptables?
С Exim давно не работал, раньше делал через fail2ban# vi /etc/fail2ban/jail.conf
[exim-banhammer]
enabled = true
filter = exim.banhammer
action = iptables-multiport[name=Exim, port="smtp,smtps", protocol=tcp]
#sendmail[name=exim-spam, dest=admin@company.xyz, sender=fail2ban@localhost]
logpath = /var/log/exim/main.log
maxretry = 2
bantime = 18000
ignoreip = 127.0.0.1vi /etc/fail2ban/filter.d/exim.banhammer.conf
[Definition]
failregex = [\] .*(?:rejected by local_scan|Unrouteable address|Dnsbl blocked|Sender verify failed|relay not permitted|Unknown user)fail2ban-client reload
Далее проверь, как отрабатывает правило бана на логах (может корректировка нужна):
fail2ban-regex --print-all-match /var/log/exim/main.log /etc/fail2ban/filter.d/exim.banhammer.conf
Проверка статуса:
fail2ban-client status exim-banhammer
Просмотр списка заблокированных IP:
ipset listНа самом деле в настройках fail2ban уже наверняка есть заготовки для Exim, просто разкоментируй их.
Эта тема пережёвана интернетах с давних времен.
> Доброго времени суток!
> В логах Exima очень много записей такого типа:
> 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua>
> Как можно ограничить, допустим, 5 а остальное все drop'ить? Или тут надо
> смотреть в сторону iptables?https://www.exim.org/exim-html-current/doc/html/spec_html/ch...
Судя по всему, это в рамках одного сеанса SMTP происходит. Тупой бот пытается по словарю подобрать работающий адрес. Можно обрубить в acl_check_rcpt:
drop
condition = ${if >{$rcpt_fail_count}{5}}
message = Too many failed recipients