Xử lý tấn công lệnh không hợp lệ SMTP

Một trong những máy chủ thư nửa bận của chúng tôi (sendmail) đã có rất nhiều kết nối gửi đến trong vài ngày qua từ các máy chủ đang phát lệnh rác.

Trong hai ngày qua:

• kết nối smtp đến với các lệnh không hợp lệ từ 39.000 IP duy nhất
• IP đến từ nhiều phạm vi khác nhau trên toàn thế giới, không chỉ một vài mạng mà tôi có thể chặn
• máy chủ thư phục vụ người dùng trên khắp Bắc Mỹ, vì vậy tôi không thể chặn kết nối từ các IP không xác định
• mẫu lệnh xấu: http://pastebin.com/4QUsaTXT

Tôi không chắc ai đó đang cố gắng thực hiện điều gì với cuộc tấn công này, ngoài việc làm tôi khó chịu.

bất kỳ ý tưởng này là về cái gì, hoặc làm thế nào để đối phó với nó một cách hiệu quả?

Dưới đây là ít nhất một tùy chọn để tarpits các kết nối này sau khi chúng bắt đầu phát sinh lỗi. Khách hàng hợp lệ và cư xử tốt không bao giờ nên rơi vào tarpit này.

dnl # New option in v8.14.0
dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP
dnl #   commands) before daemon will throttle connection by slowing
dnl #   error message replies (similar to "confBAD_RCPT_THROTTLE")
define(`MaxNOOPCommands', `5')dnl

Bạn cũng có thể sử dụng tính năng GreetPause, tính năng này sẽ từ chối các ứng dụng khách này vì họ không thể tôn trọng việc tạm dừng. Bạn có thể đọc thêm về nó ở đây: http://www.deer-run.com/~hal/sysadmin/greet_pause.html

dnl # New feature in v8.13.1 (not listed in Companion)
dnl # Set time in milliseconds before sendmail will present its banner
dnl #   to a remote host (spammers won't wait and will already be
dnl #   transmitting before pause expires, and sendmail will
dnl #   refuse based on pre-greeting traffic) 5000=5 seconds
dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries
dnl #       in access table
FEATURE(`greet_pause',`5000')dnl

Tôi sẽ cài đặt fail2ban và chặn lệnh đầu tiên không hợp lệ.