Categorías: FLOSSTrabajo

[ZIMBRA] Protegernos contra ataques DoS postfix AUTH

En un cliente tuvimos problemas ataques varios contra el servidor de correo Zimbra, aparte de problemas por weak passwords (decisiones gerenciales) y la costumbre de poner «123456» y «qwaszx12» que se rompen por diccionario fácilmente.

Luego de que tomaran conciencia de esto y mejorar mucho el manejo de claves igualmente seguimos sufriendo ataques constantes.

Usamos entre otras cosas fail2ban junto a zimbra desde hace algún tiempo ( [ZIMBRA] ENFRENTANDO EL SPAM CON FAIL2BAN )

Ultimamente aumentaron los ataques contra postfix y las reglas del fail2ban que usabamos no las filtraban

En el log se los ve así :

Apr 6 06:30:49 mail postfix/smtpd[00000]: connect from unknown[151.237.190.118]
Apr 6 06:30:49 mail postfix/smtpd[00000]: lost connection after AUTH from unknown[151.237.190.118]

Así que creamos las siguientes reglas en el fail2ban

1: Agregar esto al final de /etc/fail2ban/jail.local

[zimbra-auth-dos]
enabled = true
filter = zimbra-auth-dos
action =iptables-allports[name=Zimbra-auth-DoS]
logpath = /var/log/zimbra.log
ban= 600
retry=5

2: Crear el filtro /etc/fail2ban/filter.d/zimbra-auth-dos.conf

[Definition]
failregex = lost connection after AUTH from (.*)\[<HOST>\]
ignoreregex =

3: Reiniciar fail2ban y luego de 5 intentos los bloqueamos por 600s

 

 

cristian

Entradas recientes

Hablando sobre IA

Hace unos días, me invitaron a hablar en el stream de PorcoNegro, PorcoTV sobre que…

5 meses hace

Bloquear anuncios en todos tus dispositivos

En el vasto mundo digital de hoy, los anuncios no solo son molestos, sino que…

2 años hace

Quitar Ads del celular

Valido para ANDROID/iOS Para quitar los ADs del celular sin rootear el cel (android), instalar…

4 años hace

Las desprolijidades de mi mutualista

con la seguridad de la información. Si, así como lo leen, en muchos sentidos mi…

5 años hace

El próximo DDoS que sufra seguramente sea gracias al IoT

IoT ("Internet of Things" o "Internet de las Cosas") esa sigla que estamos viendo mucho…

9 años hace