forum.opennet.ru - "Exim 'бомбят'" (3)

"Exim 'бомбят'"

Форум Информационная безопасность (Блокирование спама и вирусов)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Exim 'бомбят'"	+/–
Сообщение от Дмитрий (??), 30-Сен-23, 17:28
Доброго времени суток! В логах Exima очень много записей такого типа: 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <loe4149sqs1me@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <alexxus@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <ayat@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <kendel@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <kalie@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <eliverto@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <kashlyn@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <dillinger@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <jawon@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <jaleen@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <mcarthur@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <mearl@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <avilene@malwin.com>: Unknown user 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> rejected RCPT <labria@malwin.com>: Unknown user ... Как можно ограничить, допустим, 5 а остальное все drop'ить? Или тут надо смотреть в сторону iptables?
Ответить \| Правка \| Cообщить модератору

Оглавление

С Exim давно не работал, раньше делал через fail2ban vi etc fail2ban jail conf, AkeHayc (?), 10:21 , 01-Окт-23, (1)
https www exim org exim-html-current doc html spec_html ch-access_control_list, ц (?), 10:16 , 02-Окт-23, (2)
Судя по всему, это в рамках одного сеанса SMTP происходит Тупой бот пытается по, X (?), 17:45 , 02-Окт-23, (3)

Сообщения [Сортировка по времени | RSS]

1. "Exim 'бомбят'" +/–

Сообщение от AkeHayc (?), 01-Окт-23, 10:21

С Exim давно не работал, раньше делал через fail2ban
# vi /etc/fail2ban/jail.conf
[exim-banhammer]
enabled = true
filter = exim.banhammer
action = iptables-multiport[name=Exim, port="smtp,smtps", protocol=tcp]
#sendmail[name=exim-spam, dest=admin@company.xyz, sender=fail2ban@localhost]
logpath = /var/log/exim/main.log
maxretry = 2
bantime = 18000
ignoreip = 127.0.0.1
vi /etc/fail2ban/filter.d/exim.banhammer.conf
[Definition]
failregex = [\] .*(?:rejected by local_scan|Unrouteable address|Dnsbl blocked|Sender verify failed|relay not permitted|Unknown user)
fail2ban-client reload
Далее проверь, как отрабатывает правило бана на логах (может корректировка нужна):
fail2ban-regex --print-all-match /var/log/exim/main.log /etc/fail2ban/filter.d/exim.banhammer.conf

Проверка статуса:
fail2ban-client status exim-banhammer
Просмотр списка заблокированных IP:
ipset list
На самом деле в настройках fail2ban уже наверняка есть заготовки для Exim, просто разкоментируй их.
Эта тема пережёвана интернетах с давних времен.

Ответить | Правка | Наверх | Cообщить модератору

2. "Exim 'бомбят'" +/–

Сообщение от ц (?), 02-Окт-23, 10:16

> Доброго времени суток!
> В логах Exima очень много записей такого типа:
> 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua>
> Как можно ограничить, допустим, 5 а остальное все drop'ить? Или тут надо
> смотреть в сторону iptables?
https://www.exim.org/exim-html-current/doc/html/spec_html/ch...

Ответить | Правка | Наверх | Cообщить модератору

3. "Exim 'бомбят'" +/–

Сообщение от X (?), 02-Окт-23, 17:45

Судя по всему, это в рамках одного сеанса SMTP происходит. Тупой бот пытается по словарю подобрать работающий адрес. Можно обрубить в acl_check_rcpt:

drop
condition = ${if >{$rcpt_fail_count}{5}}
message = Too many failed recipients

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Exim 'бомбят'"	+/–
Сообщение от AkeHayc (?), 01-Окт-23, 10:21
С Exim давно не работал, раньше делал через fail2ban # vi /etc/fail2ban/jail.conf [exim-banhammer] enabled = true filter = exim.banhammer action = iptables-multiport[name=Exim, port="smtp,smtps", protocol=tcp] #sendmail[name=exim-spam, dest=admin@company.xyz, sender=fail2ban@localhost] logpath = /var/log/exim/main.log maxretry = 2 bantime = 18000 ignoreip = 127.0.0.1 vi /etc/fail2ban/filter.d/exim.banhammer.conf [Definition] failregex = [\] .*(?:rejected by local_scan\|Unrouteable address\|Dnsbl blocked\|Sender verify failed\|relay not permitted\|Unknown user) fail2ban-client reload Далее проверь, как отрабатывает правило бана на логах (может корректировка нужна): fail2ban-regex --print-all-match /var/log/exim/main.log /etc/fail2ban/filter.d/exim.banhammer.conf Проверка статуса: fail2ban-client status exim-banhammer Просмотр списка заблокированных IP: ipset list На самом деле в настройках fail2ban уже наверняка есть заготовки для Exim, просто разкоментируй их. Эта тема пережёвана интернетах с давних времен.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Exim 'бомбят'"	+/–
Сообщение от ц (?), 02-Окт-23, 10:16
> Доброго времени суток! > В логах Exima очень много записей такого типа: > 2023-09-23 02:12:28 H=host-177-185-208-106.globonet.net.br [177.185.208.106] F=<hq500op66i6v2m@zelinski.com.ua> > Как можно ограничить, допустим, 5 а остальное все drop'ить? Или тут надо > смотреть в сторону iptables? https://www.exim.org/exim-html-current/doc/html/spec_html/ch...
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Exim 'бомбят'"	+/–
Сообщение от X (?), 02-Окт-23, 17:45
Судя по всему, это в рамках одного сеанса SMTP происходит. Тупой бот пытается по словарю подобрать работающий адрес. Можно обрубить в acl_check_rcpt: drop condition = ${if >{$rcpt_fail_count}{5}} message = Too many failed recipients
Ответить \| Правка \| Наверх \| Cообщить модератору