Fórumok
Sziasztok,
egy ideje azt látom, hogy a fail2ban megnyerte a hónap dísztárgya címet, ergo tök fölöslegesen van, ugyanis TOR-on keresztül brute force-olnak. Tehát kivágom fail2ban-al, és már jön is máshonnan. Ennél szebb már az, hogy meg sem várja a bant, mert minden kérést új IP-ről küld.
Nézegettem postfixhez olyat, hogy geoip alapján szűrjön, de amiket találtam, az mindent korlátoz. Nekem olyan kéne, hogy auth folyamatot kizárólag adott országokból lehessen indítani, de a bejövő leveleket ez ne érintse.
Van valakinek birtokában ilyen kiegészítés, vagy legalább valami iránymutatás, ami alapján megírhatom azt?
Előre is köszönöm a segítséget!
Hozzászólások
Ehhez mondjuk a klienseket is állítani kell, de tippre: autholt levelet csak a submission porton (587) veszel át, azt iptables-geoip-vel szűröd, a 25-ön meg jöhetnek a külső levelek.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
A ötlet egyszerűségében jó, de ezt az ügyfél torkán tuti nem nyomom le. Nekik még egy nyomoronc androidos mail klienst is nehéz volt beállítani.
Az ISP-k többsége eleve tiltja a végpontokról a 25-ös port felé menő forgalmat, így épp itt az ideje az ügyfélnek megtanítani, hogy levelet _nem_ a 25-ös porton keresztül küldünk.
Nálatok ez már teljesen át lett állítva?
Nem vagyok ISP, de UPC-ről és Digiről konkrétan tudom, hogy blokkolja a TCP25 felé menő forgalmat.
Én a saját mail-szervereimen évek óta nem engedek 25-ös portra autentikált klienst, és az irodai tűzfalakon is blokkolva van a 25-ös port, bár van egy olyan alkalmazásunk, ahol nem lehet portot állítani a levélküldéshez (éljen a Magyar Posta!), na, az a forgalom routeren el van natolva kifelé.
Csak ötletnek: Postfix-PAM auth és PAM-GeoIP
Megnézegetem, köszönöm!