Postfix a Dovecot

[Petr.Vileta]

Lidi, neumite tady nekdo tyhle dva? Mam to na mem pidi serveru jako mailer a obcas nejaky idiot z Ciny nebo Nigerie zkousi slovnikovy utok. Ono se mu to tedy nepovede, ale chtel bych si tam dodelat, ze kdyz bude prichazet ze stejne IP velke mnozstvi pokusu o nalogovani, tak tu IP budu ji blokovat. Samotny skript na blokovani si napisu sam, jen potrebuju tem dvema nejak vysvetlit, ze pri pokusu o nalogovani maji tuto informaci taky preposlat memu skriptu a to okamzite.

[Karel.Fuzik]

Neměl by to řešit paketový filtr?

[Petr.Vileta]

No ja nevim, ja jsem na Linuxu cvicena opice. Predstavuju si to tak, ze Postfix nebo Dovecot (nevim ktery z nich se o to stara) prijme zadost o prihlaseni. Tak ji posle memu skriptu, dal se o to nestara a provede co ma. No a muj skript dostane IP, koukne do databaze, kdy se nekdo z teto IP naposledy prihlasoval a pokud to bylo pred mene nez 1 minutou, tak zapise do textoveho souboru seznam vsech blokovanych IP. V Souboru /etc/hosts.deny je to pripravene tak, ze se jakakoliv operace nejdrive kontroluje na seznam blokovanych IP.
V predchozim systemu se sendmailem jsem to takhle mel. Seznam IP jsem sice editoval rucne, ale kdyz tam bylo asi tak 500 zaznamu (vcetne celych rozsahu), tak utoky nebyly temer zadne. Proste z Nigerie mel kazdy smulu na vsech portech.

[Ondrej.Profant]

Mé poznámky: http://anilinux.org/~keddie/index.php?p ... race+UNIXu

Jinak to má IMHO Postfix přímo v nastavení (man postfix), zprávy posílá do logu, tak pokud si to chceš řešit sám, tak to zobej z logu.

[Petr.Vileta]

Mé poznámky: http://anilinux.org/~keddie/index.php?p ... race+UNIXu

Jinak to má IMHO Postfix přímo v nastavení (man postfix), zprávy posílá do logu, tak pokud si to chceš řešit sám, tak to zobej z logu.

O tom jsem premyslel, ale musel bych muj skript spoustet treba kazdych 10 minut. Mnohdy by se spustil zbytecne, ale kdyz nastane utok, tak zas je tech 10 minut az moc dlouhy interval.

[Ondrej.Profant]

Otevřel jsem tuto knihu:
http://books.google.com/books?id=C-ysYm ... &q&f=false

A píšou, že default chování je, že pokud se někdo snaží spojit a vyhodí to chybu, tak se prodlužuje čas pro přijmutí spojení (parametr: smtpd_error_sleep_time v main.cf), pokud to překročí počet zadaný v smtpd_hard_error_limit, tak útočníka Postfix sám odpojí. Nebo si to chování měnil?

Je to tvůj problém?

[Petr.Vileta]

No v te knize si moc nepoctu, protoze nemecky
Nicmene jsem se koukal do /etc/postfix/main.cf a tam nic takoveho neni. Ovsem v /etc/postfix/master.cf je tohle

Kód: Vybrat vše

    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000

Nic jsem nemenil, ale tohle asi bude ten problem. Netusim, proc tam jsou tak vysoke hodnoty a proc je to v master.cf a ne v main.cf. Zkusim to pokusne zmenit na 51 a 50. Uvidim, jestli si nekdo nebude stezovat, ze mu nejde posta. Mam tu cca 15 klientu.

Takze "/etc/init.d/postfix reaload" a dej se vule Pane

[Ondrej.Profant]

No v te knize si moc nepoctu, protoze nemecky
Nicmene jsem se koukal do /etc/postfix/main.cf a tam nic takoveho neni. Ovsem v /etc/postfix/master.cf je tohle

Kód: Vybrat vše

    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000

Nic jsem nemenil, ale tohle asi bude ten problem. Netusim, proc tam jsou tak vysoke hodnoty a proc je to v master.cf a ne v main.cf. Zkusim to pokusne zmenit na 51 a 50. Uvidim, jestli si nekdo nebude stezovat, ze mu nejde posta. Mam tu cca 15 klientu.

Takze "/etc/init.d/postfix reaload" a dej se vule Pane

Trochu už jsem toho vypil, ale není to tak, že main.cf je to, co nastavuje user a master.cf je "tovární nastavení"?

Jo ty limity jsou strašně vysoko v té knize mají v ukázce něco jako 10 a 15.

[Petr.Vileta]

Asi to bude jak rikas, ja to zatim moc nestudoval, protoze to nejak fungovalo. Ale proc se to naistalovalo s temahle nesmyslnejma hodnotama, to fakt nevim. Zkusil jsem tam dat hodnoty o hodne mensi a uvidim.

Rozhodne diky za radu.

[Petr.Vileta]

Tak se nezdarilo. Spamery to sice trochu omezilo, ale ne zas tak moc, ovsem omezilo to moje skripty, ktere rozesilaji VYZADANE informacni maily. Proslo jich vzdycky jen tech 50 a zbytek to zahazovalo.