fail2ban отклоняет спам-ботов грубой силой
Было бы разумно, если бы я изменил postfix fail2ban правило из этого:
failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 Client host rejected: cannot find your hostname, (\[\S*\]); from=<\S*> to=<\S+> proto=ESMTP helo=<\S*>$
^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 : Helo command rejected: Host not found; from=<> to=<> proto=ESMTP helo= *$
^%(__prefix_line)sNOQUEUE: reject: EHLO from \S+\[<HOST>\]: 504 5\.5\.2 <\S+>: Helo command rejected: need fully-qualified hostname;
^%(__prefix_line)sNOQUEUE: reject: VRFY from \S+\[<HOST>\]: 550 5\.1\.1 .*$
^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.1\.8 <\S*>: Sender address rejected: Domain not found; from=<\S*> to=<\S+> proto=ESMTP helo=<\S*>$
^%(__prefix_line)simproper command pipelining after \S+ from [^[]*\[<HOST>\]:?$
путем добавления следующей строки:
^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 550 5\.1\.1 .*$
Поскольку я пытаюсь предотвратить подобные атаки:
Jan 27 09:42:02 host1 postfix/smtpd[3416]: NOQUEUE: reject: RCPT from unknown[109.107.106.180]: 550 5.1.1 <chiquia9p34@acosonic.com>: Recipient address rejected: User unkn
own in virtual alias table; from=<crazy434808@airoclean.ch> to=<chiquia9p34@acosonic.com> proto=ESMTP helo=<[109.107.106.180]>
Jan 27 09:42:03 host1 postfix/smtpd[3416]: NOQUEUE: reject: RCPT from unknown[109.107.106.180]: 550 5.1.1 <chiquia@acosonic.com>: Recipient address rejected: User unknown
in virtual alias table; from=<crazy434808@airoclean.ch> to=<chiquia@acosonic.com> proto=ESMTP helo=<[109.107.106.180]>
Jan 27 09:55:32 host1 postfix/smtpd[4914]: NOQUEUE: reject: RCPT from unknown[109.107.106.180]: 550 5.1.1 <michaela9p34@acosonic.com>: Recipient address rejected: User unk
nown in virtual alias table; from=<crazy878210@camgirl-info.com> to=<michaela9p34@acosonic.com> proto=ESMTP helo=<[109.107.106.180]>
Jan 27 09:55:32 host1 postfix/smtpd[4914]: NOQUEUE: reject: RCPT from unknown[109.107.106.180]: 550 5.1.1 <michaela@acosonic.com>: Recipient address rejected: User unknown
in virtual alias table; from=<crazy878210@camgirl-info.com> to=<michaela@acosonic.com> proto=ESMTP helo=<[109.107.106.180]>
Меня беспокоит то, что он будет отбрасывать непреднамеренно неправильные электронные письма, которые должны будут возвращены пользователям, которые случайно пропустили адрес электронной почты.
Что вы предлагаете?
В таких вещах всегда можно найти баланс. Единичный или нечастый сбой, вероятно, является ошибкой со стороны отправителя. Множественные сбои за короткое время, скорее всего, указывают на то, что вы хотите ввести (временный) запрет.
Вот почему в fail2ban есть параметры, которые вы можете использовать для настройки чувствительности. Например, вы можете установить maxretry и findtime . Параметр maxretry - это количество неудачных попыток, которые будут допущены в течение времени поиска больше, чем это, и адрес будет заблокирован.
Я бы посмотрел на файл и почувствовал, что происходит, и установил параметры соответствующим образом .
Я предлагаю вам использовать postscreen, дополнительная информация здесь: http://www.postfix.org/POSTSCREEN_README.html
"Сервер Postfix postscreen (8) обеспечивает дополнительную защиту от перегрузки почтового сервера. Один постэкран (8) обрабатывает процесс несколько входящих SMTP-соединений и решает, какие клиенты могут разговаривать в процесс SMTP-сервера Post-fix. Держа подальше от спам-ботов, postscreen (8) оставляет больше процессов SMTP-сервера доступными для легитимных клиентов и отсрочивает наступление перегрузки сервера условий. "
Это снимает всю нагрузку с MTA, выполнив некоторые умные проверки. Боты никогда не сделают этого, пока не добьются того, что должно быть.
Если ваша установка не позволяет постэкрану для может оказаться полезным использование демона политики с ограничениями скорости.