Problemas com DoS usando Postfix.

[Bit]

E ai pessoal, beleza? =)
Desculpem ai incomodar vocês mais uma vez, mas não tem jeito. >.<

Tenho certeza que muitos passam por esse problema no dia a dia, que é o caso dos SPAM's e tentativas diretas de ataques de negação de serviço em seus servidores de correio. Tipo... temos tentado barrar o ataque destes SPAMMERs, mas estou achando que esta não é a solução mais plausível. >_<

A cada verificação de SPAM, estamos barrando cada servidor que encontramos no firewall iptables, mas o arquivo já está ficando grande demais.

Tentamos então, incluir uma chain e uma regra que encontramos na interent, porém ela não é tão eficaz no sentido de manter a performance do webmail e envio de mensagens (usamos o SquirrelMail).

A regra que colocamos foi essa:

(Se houver tentativa de entrada de pacotes pela porta 25, entrar na chain "ataquemail")

Código :

-A INPUT -p tcp -m tcp --dport 25 -j ataquemail

A chain é essa:

Código :

-A ataquemail ! -s 127.0.0.1 -m limit --limit 1/s --limit-burst 10 -j RETURN
-A ataquemail -j DROP

A regra até barra os SPAM's (pelo menos, não conseguimos mais ver em nenhum ponto do log que existem vestígios de certos servidores fantasmas), mas acaba diminuindo consideravelmente a performance.

Alguém conhece uma solução legal para tentar pelo menos minimizar a incidência de ataques de DoS e os SPAM's?

Utilizamos o Postfix em conjunto do amavisnew, SpamAssassin e Clamav.

Valeu galera. o/

[nilsonjr]

bom eu nao uso spamassassin vc ja tentou colocar RBL, check de HELO na conf do postfix e autenticar seus usuarios?

caso nao segue um exemplo que esta no meu servidor.

Com essa brincadeira reduzi cerca de 90 % dos spans da empresa

disable_vrfy_command = yes
strict_rfc821_envelopes = yes
smtpd_helo_required = yes

maps_rbl_domains = relays.ordb.org,
dev.null.dk,
opm.blitzed.org,
sbl.spamhaus.org

[Bit]

Poxa velho, muito obrigado pela força.
Eu vou fazer um teste com as dicas que você passou. o/

[Bit]

Desculpem levantar este tópico novamente, mas é por uma boa causa.
nilson, a regra não funcionou aqui, mas serviu de base para que eu podesse pesquisar a respeito.

Existe uma opção no Postfix chamada smtpd_recipient_restrictions, onde eu posso definir restrições no recebimento das mensagens.

Usando o exemplo abaixo, você conseguirá barrar boa parte dos SPAM's:

Código :

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions =
 permit_sasl_authenticated,
 permit_mynetworks,
 reject_rbl_client bl-xbl.spamhaus.org,
 reject_rbl_client opm.blitzed.org,
 reject_rbl_client list.dsbl.org,
 reject_rbl_client cbl.abuseat.org,
 reject_rbl_client dul.dnsbl.sorbs.net,
 check_relay_domains

Esta regra diz para que o Postfix verifique a mensagem comparando com um banco de dados on-line, aceitando ou não a mensagem. Se esta mensagem estiver marcada como nociva no BD, ela será barrada.

Consegui resolver o problema de receber SPAM's, agora só falta resolver uma forma de evitar a negação de serviço. XD