[FUG-BR] RES: ataque na porta 25 do qmail

Ari Arantes Filho ari em dd.com.br
Quinta Julho 16 10:01:39 BRT 2009


Eu também tive esse mesmo problema dias atrás. Inclusive mandei na lista,
era "tentativa de SPAM", acho.
O que fiz foi fechar a porta 25 do servidor SMTP dos usuários e liberar
através do ipfw cada vez que usuário autenticar POP3 ou SMTP. Como o MX dos
domínios roda em outro servidor, foi possível fechar a porta 25.

Fiz uma rotina que fica lendo o log e grava num banco os IPs válidos do
usuários que autenticaram, se já existir não faz nada, se ainda não existir,
coloca um regra no ipfw liberando a porta 25. De tempos em tempos faço
limpeza no ipfw para reduzir o número de regras.

Resolveu o problema, mas tinha dúvidas sobre o número de regras no ipfw.
Apesar de já ter chegado com mais de 4100 sem problemas de lentidão ou
reclamações, ainda continuo com receio sobre o grande número de regras
atrapalhar de alguma forma.

Gostei também da idéia do tarpit e pretendo estudar também. Parece mais
simples e sem esse monte de regras....

Comigo foi a mesma coisa, um monte de tentativas de autenticar no SMTP e
mandar e-mails estava atrapalhando a conexão dos usuários no SMTP, dando
timeout e erros.

[]s,

Ari


2009/7/15 Grupo FUG FUG <fug460 em gmail.com>

> Amigos,
>
>
> Muito obrigado pelas respostas e pela ajuda dada nesse problema, vou
> colocar
> em prática as opções.
>
> []'s
>
> Luís
>
> 2009/7/15 Eduardo Alvarenga <eduardo.alvarenga em gmail.com>
>
> > Você está rodando em modo Greylist?
> >
> > Se estiver, execute:
> >
> > # spamdb -T -a 'sar em XXXX.com.br'
> >
> > Com isso você cria um spamtrap e qualquer coisa para esse rcpt vai ser
> > bloqueada.
> > Quando a carga que o spamd aguenta, fique traquilo, já vi coisa 'in-loco'
> > bem pior e SO nem piscou :)
> >
> > http://www.openbsd.org/cgi-bin/man.cgi?query=spamd
> >
> > Abraço,
> >
> > 2009/7/15 Grupo FUG FUG <fug460 em gmail.com>
> >
> > > Pessoal,
> > >
> > > Obrigado pelas respostas, eu ja rodo o spamd+pf  como falou o eduardo,
> > mais
> > > alguém teria um exemplo de como tratar isso por eles, ai posso colocar
> > essa
> > > regra no pf.conf
> > >
> > > Obrigado,
> > >
> > > Luís
> > >
> > >
> > >
> >
> >
> > --
> >  Eduardo Alvarenga
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd