OVH Community, votre nouvel espace communautaire.

Attaque serveur Mail


fritz2cat
16/05/2015, 21h36
Une bonne parade pour pas cher non plus:
main.cf::
smtpd_error_sleep_time = 5s
smtpd_soft_error_limit = 1
smtpd_hard_error_limit = 3
smtpd_client_connection_count_limit = 5
smtpd_client_connection_rate_limit = 5

Nowwhat
15/05/2015, 13h47
Pareil ici http://www.test-domaine.fr/munin/pap.../fail2ban.html fail2ban s'amuse.

janus57
15/05/2015, 11h55
Citation Envoyé par bbr18
fail2ban fait le boulot et gratuitement
Bonjour,

et le jour ou c'est bitninja le vecteur de la faille ?
Car il se met à jour en ligne (si j'ai bien suivie) et c'est un code popriétaire comparé à fail2ban qui se configure par l'administrateur (il a pas besoin de cherchez ces règles sur un serveur tiers qui peu potentiellement être détourné/hacké) et en plus les 3/4 des fonctions de ce "soft" ne sont même pas disponible d'après le site.

Cordialement, janus57

bbr18
15/05/2015, 11h52
fail2ban fait le boulot et gratuitement

dev75
15/05/2015, 11h38
moi j'utilise bitninja.io
et je me soucis plus de rien, mais ca me coute 30$/mois

XIII2009
14/05/2015, 10h48
Bonjour,

Je vois donc que je ne suis pas le seul...
Est-ce qu'il faut vérifier qq chose de spécifique dans les logs ou autres pour être sûr ?

a+

bbr18
13/05/2015, 20h36
j'ai eu ça hier 250 ip bannies en moins de 3mn, venant principalement d'Inde et Iran

XIII2009
13/05/2015, 20h33
Bonsoir,

Je constate depuis le début de soirée une tentative d'attaque de mon serveur dédié via le serveur mail...
Heureusement j'avais configuré Fail2ban en protection et je dois avoir reçu environ 300 mails de bannissements d'adresse ip en un peu plus d'une heure.

Voici le type de bannissement :
Code:
var/log/mail.log:May 13 19:59:35 monserveur postfix/smtpd[17538]: connect from unknown[151.232.215.83]
/var/log/mail.log:May 13 19:59:36 monserveur postfix/smtpd[17538]: warning: unknown[151.232.215.83]: SASL CRAM-MD5 authentication failed: authentication failure
/var/log/mail.log:May 13 19:59:36 monserveur postfix/smtpd[17538]: warning: unknown[151.232.215.83]: SASL PLAIN authentication failed: authentication failure
/var/log/mail.log:May 13 19:59:37 monserveur postfix/smtpd[17538]: warning: unknown[151.232.215.83]: SASL LOGIN authentication failed: authentication failure
/var/log/mail.log:May 13 19:59:37 monserveur postfix/smtpd[17538]: disconnect from unknown[151.232.215.83]
/var/log/mail.log:May 13 19:59:53 monserveur postfix/smtpd[17538]: connect from unknown[151.232.215.83]
/var/log/mail.log:May 13 19:59:54 monserveur postfix/smtpd[17538]: warning: unknown[151.232.215.83]: SASL CRAM-MD5 authentication failed: authentication failure
/var/log/mail.log:May 13 19:59:54 monserveur postfix/smtpd[17538]: warning: unknown[151.232.215.83]: SASL PLAIN authentication failed: authentication failure
/var/log/mail.log:May 13 19:59:55 monserveur postfix/smtpd[17538]: warning: unknown[151.232.215.83]: SASL LOGIN authentication failed: authentication failure
/var/log/mail.log:May 13 19:59:55 monserveur postfix/smtpd[17538]: disconnect from unknown[151.232.215.83]
Apparemment je suis tjs protéger mais avez vous des conseils à me donner ou autres éléments à vérifier pour être sûr de la sécurité de mon serveur ?
Est-ce que je laisse faire et j'attends simplement que toutes les IPs concernées se fassent bannir ?

Merci de votre aide et de vos conseils.

a++