Thu, 19 Apr 2012 19:45:29 +0800 от "Andrey V. Malyshev" <[email protected]>:
> Здравствуйте, коллеги!
>
> Нескоько дней назад враги-спамеры поюзали мой сервер своей рассылкой,
> воспользовавшись возможностью релеить после успешной SMTP-аутентификации.
> Исполнялась рассылка с ботнета, использовано было всего три аккаунта, причем
> пароли не примитивные, и признаков подбора в логах нет. Кроме предположения,
> что пароль утащен вирусом/трояном, ничего пока не придумал.
> Вопрос: сталкивался ли кто с такой спам-технологией, есть ли какие-то
> принципиальные идеи по борьбе с таким, и не пропустил ли я какой-нибудь
> уязвимости в аутентификаторах exim'а? Exim version 4.77.
Это стандартное поведение спамбота - спереть пароль и разослать спам.
Используйте рейтлимиты.
> И второй вопрос, в продолжение первого: как можно вставить задержку (delay)
> после неудачной попытки аутентификации? Тарпиттинг, кажется, называется. В
> спеке найти не смог.
>
$authentication_failed
This variable is set to "1" in an Exim server if a client issues an AUTH
command that does not succeed. Otherwise it is set to "0". This makes it
possible to distinguish between "did not try to authenticate" (
$sender_host_authenticated is empty and $authentication_failed is set to
"0") and "tried to authenticate but failed" ($sender_host_authenticated is
empty and $authentication_failed is set to "1"). Failure includes any
negative response to an AUTH command, including (for example) an attempt to
use an undefined mechanism.
+
delay = 100500s
только этот вариант однозначно не советую, вы забьете тупо пул входящих
соединений при трафике отличном от локалхостового.
_______________________________________________
Exim-users mailing list
[email protected]
http://mailground.net/mailman/listinfo/exim-users
