Mail bomb
3 naročniki
3 naročniki
Ste bili kdaj tarča takega napada ?
Eden izmed mojih uporabnikov strežnika je pred kratkim bil. Stvar sicer ni preveč huda, če se znaš stvari lotit, pa če seveda imaš približno solidno spedenan mail server. Skratka kaj se je zgodilo...
Nekega dne je na lepem začelo 3000+ mail strežnikov iz različnih ipjev pošiljati email na naš strežnik, in sicer na domeno ene izmed naših strank. Očitno se jim je stranka zamerila, ali kaj bi vedel kaj je napad povzročilo. Konstantno je bilo povezanih na strežnik okrog 1700 ipjev, ki so pošiljali emaile na različne variante emailov uporabnikove domene. john@domena.com joe@domena.com sdf123@domena.com itd. Seveda stvar ne bi bila tak problem, če stranka ne bi imela catch-all mail račun in forward na gmail. Posledice si lahko predstavljate... Skratka, strežnik je daleč od tega da bi padel dol, kar bi sicer pričakoval, kar uspešno forwardiral emaile. Ko sem stvar opazil je bila seveda moja prva reakcija, da deaktiviram ta catch-all, da neha strežnik sprejemati ves ta spam. Po tem ukrepu, je load padel. In sicer je load padel na normalno delavno "temperaturo", problem pa je bil še vedno tu. Vsi concurrent connectioni poštnega strežnika so bili zasedeni. To pomeni, da pravi mail strežniki ala siol, t-2 ipd. niso mogli dostopati in pošiljati emailov. Strežnik je uspešno obvladoval teh 3000 ipjev z minimalnim, če ne ničelnim load-om. Kar mi je bilo naslednje storiti je bilo to, da sem poizkušal nekako blokirati te "slabe" ipje v firewallu. Na hitro sem spisal skriptico, ki prebira netstat in blokira ipje ki se konektajo na port 25. Poizkušal sem "grep -v" vsaj glavnih range-jev mail strežnikov, ki so uredu. Spravil sem jih na 100 ipjev, ki so še vedno pošiljali spam. To ni bila najboljša rešitev, saj so konstantno prihajali novi različni ipji. (Eden izmed njih je bil celo 2advanced.com...) Ni mi preostalo druge možnosti kot da prestavim MX record za domeno. To bo sicer blokiralo email od stranke za določen čas, vendar bodo vsaj ostale stranke normalno uporabljale emaile. In res preusmeril sem MX record kar na 127.0.0.1... Takoj so ipji nehali prihajati na strežnik in delovanje je prešlo v normalen stadij. Po enem dnevu sem ponovno aktiviral email, napad je minil. Očitno so drone-ji sami sebe zafloodali, oz. je napadalec pač obupal.
Sedaj me pa zanima... Imate kake izkušnje s takimi zadevami ? Poznate mogoče drugo varianto, kako se temu bolje izogniti ? Mogoče kak prevention sistem ?
Malce sem gledal, načeloma če niso random emaili, bi lahko preverjal email in če je enak ostalim, ip blokiram. Problem pa je, da emaili niso bili enaki.
Druga varianta je tudi, da recimo ip, ki je po parih zaporednih neuspelih poskusih poizkusil delivery emaila, se ga ban-a za določen čas. Seveda tudi to ni ravno najboljša rešitev, saj s tem lahko blokiraš tudi kak vredu mail strežnik.
