SMTPの無効なコマンド攻撃への対処

Question

セミビジーメールサーバーの1つ（sendmail）には、過去数日間、ガベージコマンドを発行しているホストからのインバウンド接続が多数ありました。

過去2日間：

39,000の一意のIPからの無効なコマンドを使用した着信SMTP接続
iPは、ブロックできるいくつかのネットワークだけでなく、世界中のさまざまな範囲から来ています
メールサーバーは北米中のユーザーにサービスを提供しているので、未知のIPからの接続をブロックすることはできません
悪いコマンドのサンプル： http://Pastebin.com/4QUsaTXT

私を苛立たせる以外に、誰かがこの攻撃で何を達成しようとしているのかわかりません。

これが何であるか、またはそれを効果的に処理する方法についてのアイデアはありますか？

blueben · Answer

エラーを吐き出し始めた後、これらの接続をターピットするための少なくとも1つのオプションがあります。有効で行儀の良いクライアントは、このターピットに陥ってはなりません。

dnl # New option in v8.14.0 dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP dnl # commands) before daemon will throttle connection by slowing dnl # error message replies (similar to "confBAD_RCPT_THROTTLE") define(`MaxNOOPCommands', `5')dnl

また、GreetPause機能を使用することもできます。この機能は、一時停止を尊重する可能性が低いため、これらのクライアントを拒否します。詳細については、こちらをご覧ください： http://www.deer-run.com/~hal/sysadmin/greet_pause.html

dnl # New feature in v8.13.1 (not listed in Companion) dnl # Set time in milliseconds before sendmail will present its banner dnl # to a remote Host (spammers won't wait and will already be dnl # transmitting before pause expires, and sendmail will dnl # refuse based on pre-greeting traffic) 5000=5 seconds dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries dnl # in access table FEATURE(`greet_pause',`5000')dnl

adamo · Answer

fail2ban をインストールし、最初の無効なコマンドでブロックします。