Заблокировать ylmf-pc exim
статья с сайта — http://unixa.ru/korotko-o-glavnom-./blokiruem-ylmf-pc-na-exim.html
статья частично переделана под свои нужды!
Блокируем Ylmf-pc на Exim, BruteForce атака
02:04:2015 г.
Ylmf-pc достаточно известный «нейм», с которого идёт постояннный подбор (Brute Force) авторизации на e-mail серверах. IP разные, поэтому блокировать по IP бесполезно. В логе:
# less /var/log/exim/mainlog | grep ylmf-pc видны следующие записи:
Открываем конфигурационный файл Exim: # vi /etc/exim.conf
идём сюда
acl_smtp_rcpt = check_recipient
acl_smtp_data = check_message
и ниже добавляем строчку, чтобы получилось так:
acl_smtp_rcpt = check_recipient
acl_smtp_data = check_message
#my new fix
acl_smtp_helo = custom_begin_smtp_helo
далее опускаемся в
######################################################################
# ACLs #
######################################################################
и после # ACL that is used after the RCPT command
и добавляем
#my new fix
custom_begin_smtp_helo:
drop
condition = ${lookup{$sender_helo_name}lsearch{/etc/exim/heloblocks}{yes}{no}}
log_message = HELO/EHLO — HELO on heloblocks Blocklist
message = HELO on heloblocks Blocklist
accept
Сохраняем и перезапускаем Exim: # service exim restart
Т.о. мы добавили ACL проверки и при упоминании в файле etc/exim/heloblocks — ylmf-pc прерываем сессию. Смотрим, что в логе:
2017-04-17 12:56:32 H=(ylmf-pc) [82.165.75.246] rejected EHLO or HELO ylmf-pc: HELO/EHLO — HELO on heloblocks Blocklist
2017-04-17 12:56:32 H=(ylmf-pc) [82.165.75.246] rejected EHLO or HELO ylmf-pc: HELO/EHLO — HELO on heloblocks Blocklist
2017-04-17 12:56:32 H=(ylmf-pc) [82.165.75.246] rejected EHLO or HELO ylmf-pc: HELO/EHLO — HELO on heloblocks Blocklist
2017-04-17 12:56:32 H=(ylmf-pc) [82.165.75.246] rejected EHLO or HELO ylmf-pc: HELO/EHLO — HELO on heloblocks Blocklist
Цель достигнута!