[MASOCH-L] RES: Dropar conexão em HELO/EHLO

Cleber @ Listas cleber-listas at inetweb.com.br
Thu Nov 27 08:46:30 BRST 2014 

Daniel,

Tem um exemplo neste website, porém, se atente à versão do exim. Pode ser
que versões anteriores a 4 não tenha este recurso.

http://www.maretmanu.org/homepage/inform/exim-spam.php#hello 

-----Mensagem original-----
De: masoch-l-bounces at eng.registro.br
[mailto:masoch-l-bounces at eng.registro.br] Em nome de Daniel Vasconcelos
Enviada em: quinta-feira, 27 de novembro de 2014 08:32
Para: Mail Aid and Succor, On-line Comfort and Help
Assunto: [MASOCH-L] Dropar conexão em HELO/EHLO

Preciso dropar uma conexão vinda de uma máquina de nome "ylmf-pc",
independente de seu /source address, /pois este IP é aleatório (bot net).
Bom, estou sofrendo um ataque, nos logs é possível verificar os seguintes
registros:

2014-11-24 11:05:24 dovecot_login authenticator failed for (ylmf-pc)
[115.124.68.243]:4775: 535 Incorrect authentication data
2014-11-24 11:05:25 dovecot_login authenticator failed for (ylmf-pc)
[113.163.105.220]:33880: 535 Incorrect authentication data
2014-11-24 11:05:29 dovecot_login authenticator failed for (ylmf-pc)
[23.94.65.148]:58411: 535 Incorrect authentication data
2014-11-24 11:05:29 dovecot_login authenticator failed for (ylmf-pc)
[23.94.65.148]:58414: 535 Incorrect authentication data
2014-11-24 11:05:37 dovecot_login authenticator failed for (ylmf-pc)
[113.163.105.220]:32258: 535 Incorrect authentication data
2014-11-24 11:05:40 dovecot_login authenticator failed for (ylmf-pc)
[23.94.65.148]:59072: 535 Incorrect authentication data

Bom, pretendo executar um /drop/ na conexão no momento em que esta máquina
for enviar o comando de HELO/EHLO ao meu servidor.
O meu /mta/ é o /EXIM/, logo, tentei aplicar a seguinte regra:

acl_smtp_helo = acl_smtp_helo
acl_smtp_helo:

#BEGIN ACL_SMTP_HELO_BLOCK
drop
    condition = ${if eq {$sender_helo_name}{ylmf-pc} {yes}{no}}
    log_message = HELO/EHLO - ylmf-pc blocked
    message = I Nailed You at HELO
accept
#END ACL_SMTP_HELO_BLOCK


Porém, ao reiniciar o /daemon/ do /exim/, retornou o seguinte erro:

root at freedom [/etc]# /etc/init.d/exim restart Shutting down clamd: [ OK ]
Shutting down exim: [ OK ] Shutting down spamd: [ OK ] Starting clamd: [ OK
] Starting exim: 2014-11-26 09:47:42 Exim configuration error in line 534 of
/etc/exim.conf:
error in ACL: unknown ACL verb "acl_smtp_helo" in "acl_smtp_helo =
acl_smtp_helo"
[FAILED]

Alguém tem outra ideia?

Atenciosamente,
--
Daniel Vasconcelos
IT Analyst


__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list