postfix スパムに踏み台にされて防いだ後
防いだには防ぎました。しかしログを見ると、また踏み台にしようとめっちゃログイン失敗を繰り返しまくっていました。
これはどうしたものかと思いまして、色々調べたのですが、なかなかシンプルかつ分りやすいサイトって見つからず困りました。
です。これ、かなり分りやすい記述をしてくれているサイトだと思います。色々見ましたがなかなかどうにも分りにくいサイトが多く...
要は、
「xinetに中継させてPOP3を立ち上げて、xinetでIP制限とかしちゃおうぜ」
「スパムリストサイトを照合して、自分オリジナルのも作ってブロックしようよ」
の2ケースですね。
で、さらにはmain.cfで接続制限とかもできるようで、スパムの連チャンが来てもまずは、制限(ブロックではなく制限)させることもできます。アタックされ続ければいずれは破られるパスワードですが、このチャンスを制限することにより、膨大な時間をかけなければ破られなくなりますね。なぜこういう分りやすい説明をするサイトがないのか疑問ですが、googleが上位にヒットさせてないだけかもしれません。
あとは、スパム攻撃されている時にメールサーバをひとまず止めますが、特別な止め方がある様です。以前メールのキューを削除しないと起動時に配送されてしまう件を共有しましたが、そもそもキューをクリアする止め方もある様です。
ですって。ここも分りやすいサイトです。最終更新が古いのがちょっと残念ですが、メールサーバの文明ってその辺で鈍足化してるのかもしれませんね。
私は、分りやすいサイトに習って、まずはスパムリストに載っているものは拒否する様に設定しました。
vi /etc/postfix/main.cf
smtpd_client_restrictions = permit_mynetworks,
reject_rbl_client spamcop.net,
reject_rbl_client dynablock.wirehub.net,
reject_rbl_client opm.blitzed.org,
reject_rbl_client relays.visi.com,
reject_rbl_client sbl.spamhaus.org,
check_client_access hash:/etc/postfix/reject_client,
permit
まぁなんか接続できないdbもあるっぽいけど、それはスルーした。
「/etc/postfix/reject_client」の中に、個人的にログを見てウザいIPを書き込んだ感じ
それと念のためにhosts.denyにも書き込みました。inetdは古いシステムでxinetdに変わっているとかあるけど、サーバにファイルは設置されてるし、書き込むだけで機能するとかみたいなんで、おまじないです。
あとは、「フローコントロール、レートコントロール」ですね。これは結構重要だと思います。
参考にしたサイトにはデフォルト値が書かれているけど、grepしてもpostfixにそれ系の***.cfの記述はなかった。記述がないとデフォなんでしょうか?なんとも不確定です。と、思いましたが、スパムがanvilと書かれて、ログに引っかかっていたので、そういうもんなんでしょう。
攻撃されているうちは、その相手だけをとにかくブロックしたいんですが、その方法は私の検索の仕方が悪いのかほとんどヒットしない...まぁパスワードを難解化して、 「フローコントロール、レートコントロール」の制限に引っかからせれば、そやつ意外も結果的に防衛できるので、それが一番いいってことで落ち着くのかなと思います。
しかし、スパム防止の設定いれたら、メールの送受信テストで、送信が特に遅くなったよ、まぁ仕方ないか数秒だし。メールなんてチャットじゃないからね。