公司的MAIL Server是CentOS 平台然後安裝外購的MAIL SEVER運作
前陣子發現常常有外部IP使用SMTP在嘗試登入公司某些主管的帳號
後來使用FAIL2BAN終於減少這樣的狀況
但是駭客的攻擊也越來越高明
本來類似一小時測試10幾次
我用FAIL2BAN 設定 10分鐘登3次就BAN IP
他就會進化成 30分鐘登三次
有時候我也看LOG 把一些零星的攻擊IP都BAN掉
結果最近這種攻擊開始出現最新的進化
雖然他目前是都登入一個公司不存在的帳號
然後每格大約10分鐘
但是他現在的IP都是非常不固定而且每個IP就只有嘗試登入一次就更換IP
想請問這樣的攻擊模式有阻擋的可能嗎
我看IPTABLES 設定只能設定IP的範圍好像不能擋住某些帳號的登入

如果貴公司是中大型企業,直接向網路警察或調查局報案從這駭客手法進階又針對高階主管,似乎想要幹大票的當然自身防護同步進行如果沒有用到幫信賴子領域做mail relay,直接把外部IP連mail relay功能關掉

小公司而已..朋友說IDP能解決但是太貴了

小公司就真的關掉外部IP的mail relay,畢竟在家要以公司名義寄信機會很小,真的有需要,可以用VPN連進來寄信.如果VPN還是一直被試,那就再搭配knockd或是寄信者固定IP連VPN

好的～我會參考看看這樣的方案,感謝指教

你碰到的都是很傳統的手法, 不可能完全濾掉不過只要你系統設定無誤, 帳號密碼沒外洩, 不受影響

雙因子認證

可以改pam設定加上google authentication

別想太多 要被針對攻擊的可能性太低不信你把主管的信箱改成一堆亂碼的帳號 還會不會被打真的還是會怕 那就設定VPN (然後換VPN被踹

以他的攻擊頻率其實被攻破可能性不高,只是LOG看了煩

在網路上有開port 就是註定被掃 這沒什麼好煩的啊

Gmail, hotmail等 每天不知道被try幾萬次!?