Come posso impedire a un IP di provare a utilizzare il mio server di posta?

2

Ho recentemente creato il mio primo server di posta elettronica e guardo i registri in /var/logs/mail.log per vedere cosa sta succedendo, noto che questo IP lo fa più volte al giorno per le ultime settimane:

May 15 19:44:36 rpi postfix/smtpd[14538]: NOQUEUE: reject: RCPT from unknown[91.236.75.224]: 504 5.5.2 <#MYIP#>: Helo command
rejected: need fully-qualified hostname; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<#MYIP#>

May 17 16:01:48 rpi postfix/smtpd[16889]: NOQUEUE: reject: RCPT from unknown[91.236.75.224]: 504 5.5.2 <#MYIP#>: Helo command
rejected: need fully-qualified hostname; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<#MYIP#>

May 19 13:41:38 rpi postfix/smtpd[19313]: NOQUEUE: reject: RCPT from unknown[91.236.75.224]: 504 5.5.2 <#MYIP#>: Helo command
rejected: need fully-qualified hostname; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<#MYIP#>

È sempre così. Le mie domande sono:

  1. Questa è in ogni caso una minaccia?
  2. Come posso fermare questa persona?
  3. Se non riesco a FERMARE questa persona, c'è una sorta di reclamo che posso presentare online?

Mi scuso se questo non è il posto giusto per fare una domanda del genere. In tal caso, per favore indicami il forum pertinente.

    
posta sprocket12 20.05.2015 - 11:29
fonte

4 risposte

2

Per quanto riguarda la sicurezza, in genere tali tentativi di connessione vengono effettuati solo da robot spam automatizzati che operano da PC contaminati da malware. In ogni caso sembra che queste richieste siano state correttamente rifiutate dal tuo server.

Ti consiglio di controllare le misure di protezione dello SPAM per proteggere il tuo server di posta, e in particolare ti consiglio di impostare un controllo verso il database SpamHaus .

In particolare, SpamHaus ti offre due sistemi interessanti:

  • Lo SpamHaus Block List (SBL) è un elenco scaricabile di intervalli IP noti per essere di proprietà di organizzazioni illegali o che non sono utilizzati dal loro proprietario e possono quindi essere utilizzati per scopi illegittimi. Questo elenco deve essere utilizzato a livello del firewall per eliminare direttamente il traffico corrispondente, indipendentemente dal protocollo poiché probabilmente sarà il traffico illegittimo. L'IP che menzioni nella tua domanda è contrassegnato da questo elenco .

  • SpamHaus offre anche elenchi dedicati ai servizi di posta elettronica che possono essere interrogati su ogni richiesta del server di posta per fornire un filtraggio più dettagliato. Questi elenchi non sono necessari per il traffico illegittimo, ad esempio sono elencati gli intervalli IP associati agli accessi Internet degli utenti finali (di solito questo corrisponde allo spam del malware, ma potrebbe anche indicare qualcuno che ha creato un vero server di posta elettronica a casa), quindi potrebbe richiede un po 'di tunning per determinare quale lista le tue necessità e come potresti volere che il tuo server reagisca esattamente.

Consiglio vivamente di configurare almeno il tuo server per utilizzare l'elenco SBL per bloccare il traffico che coinvolge l'IP in esso contenuto e automatizzare un aggiornamento giornaliero di questo elenco.

    
risposta data 20.05.2015 - 12:04
fonte
1
  • Questa è in ogni caso una minaccia?

No. Il tuo server rifiuta correttamente i messaggi prima che raggiungano il tuo server (lo spammer ha solo salutato), quindi vengono utilizzate solo risorse minime e puoi semplicemente ignorarlo.

  • Come posso fermare questa persona?

Bloccando tali tentativi se lo fanno troppo spesso, ad es. utilizzando fail2ban , che è possibile installare tramite la gestione dei pacchetti. Viene utilizzato sulla maggior parte dei sistemi server per bloccare tali attacchi. Puoi utilizzare questa regola per questo caso:

 failregex = reject: RCPT from (.*)\[<HOST>\]: 504 5.5.2

Puoi anche aggiungere altri codici di errore. Vedi anche questa risposta su Serverfault: attacco server email da telnet

  • Se non riesco a FERMARE questa persona, c'è una sorta di reclamo che posso presentare online?

Troverai sempre indirizzi email di abuso nel whois per l'IP, nel tuo caso è [email protected] . Ma questo non è molto efficace nella maggior parte dei casi, quindi consiglio di usare fail2ban e di ignorare.

    
risposta data 20.05.2015 - 17:51
fonte
0

Probabilmente è una macchina che tenta di usare il tuo server di posta per inviare spam. Per rispondere alle tue domande:

  1. Il rischio per te qui è che, se ci riesce, il tuo server di posta sarà messo in black list come Open Relay.

  2. Tu devi configurare il tuo server di posta per accettare le connessioni sulla porta 25 solo dagli host che desideri sia in grado di inviare posta. Come protezione aggiuntiva, puoi anche configurare il firewall in modo simile.

  3. Teoricamente potresti provare a tracciare questo IP fino al suo ISP e presentare un reclamo a quest'ultimo, ma è una perdita di tempo.

risposta data 20.05.2015 - 11:49
fonte
0

Questi record mostrano che questo mittente sta provando a ritrasmettere la posta attraverso il tuo server di posta. Ma fortunatamente, il tuo server di posta non è configurato per consentire l'inoltro aperto, quindi questo impedisce a questi tentativi di avere successo.

Se questo mail server viene utilizzato solo per inviare la posta in uscita e non viene utilizzato per ricevere la posta in arrivo, è possibile configurare il firewall per bloccare tutte le connessioni in ingresso sulla porta 25, ad eccezione degli host che si sono specificatamente consentendo di inviare tramite questo server e questo impedirà a questi tentativi di raggiungere il tuo server di posta.

    
risposta data 20.05.2015 - 11:50
fonte

Leggi altre domande sui tag