[MASOCH-L] RES: Dropar conexão em HELO/EHLO

davi peres daviperes at gmail.com
Thu Nov 27 09:29:56 -03 2014


eu uso fail2ban, o cara errou login 1 vez ja era. barra pelo iptables o
cara.

2014-11-27 8:46 GMT-02:00 Cleber @ Listas <cleber-listas at inetweb.com.br>:

> Daniel,
>
> Tem um exemplo neste website, porém, se atente à versão do exim. Pode ser
> que versões anteriores a 4 não tenha este recurso.
>
> http://www.maretmanu.org/homepage/inform/exim-spam.php#hello
>
> -----Mensagem original-----
> De: masoch-l-bounces at eng.registro.br
> [mailto:masoch-l-bounces at eng.registro.br] Em nome de Daniel Vasconcelos
> Enviada em: quinta-feira, 27 de novembro de 2014 08:32
> Para: Mail Aid and Succor, On-line Comfort and Help
> Assunto: [MASOCH-L] Dropar conexão em HELO/EHLO
>
> Preciso dropar uma conexão vinda de uma máquina de nome "ylmf-pc",
> independente de seu /source address, /pois este IP é aleatório (bot net).
> Bom, estou sofrendo um ataque, nos logs é possível verificar os seguintes
> registros:
>
> 2014-11-24 11:05:24 dovecot_login authenticator failed for (ylmf-pc)
> [115.124.68.243]:4775: 535 Incorrect authentication data
> 2014-11-24 11:05:25 dovecot_login authenticator failed for (ylmf-pc)
> [113.163.105.220]:33880: 535 Incorrect authentication data
> 2014-11-24 11:05:29 dovecot_login authenticator failed for (ylmf-pc)
> [23.94.65.148]:58411: 535 Incorrect authentication data
> 2014-11-24 11:05:29 dovecot_login authenticator failed for (ylmf-pc)
> [23.94.65.148]:58414: 535 Incorrect authentication data
> 2014-11-24 11:05:37 dovecot_login authenticator failed for (ylmf-pc)
> [113.163.105.220]:32258: 535 Incorrect authentication data
> 2014-11-24 11:05:40 dovecot_login authenticator failed for (ylmf-pc)
> [23.94.65.148]:59072: 535 Incorrect authentication data
>
> Bom, pretendo executar um /drop/ na conexão no momento em que esta máquina
> for enviar o comando de HELO/EHLO ao meu servidor.
> O meu /mta/ é o /EXIM/, logo, tentei aplicar a seguinte regra:
>
> acl_smtp_helo = acl_smtp_helo
> acl_smtp_helo:
>
> #BEGIN ACL_SMTP_HELO_BLOCK
> drop
>     condition = ${if eq {$sender_helo_name}{ylmf-pc} {yes}{no}}
>     log_message = HELO/EHLO - ylmf-pc blocked
>     message = I Nailed You at HELO
> accept
> #END ACL_SMTP_HELO_BLOCK
>
>
> Porém, ao reiniciar o /daemon/ do /exim/, retornou o seguinte erro:
>
> root at freedom [/etc]# /etc/init.d/exim restart Shutting down clamd: [ OK ]
> Shutting down exim: [ OK ] Shutting down spamd: [ OK ] Starting clamd: [ OK
> ] Starting exim: 2014-11-26 09:47:42 Exim configuration error in line 534
> of
> /etc/exim.conf:
> error in ACL: unknown ACL verb "acl_smtp_helo" in "acl_smtp_helo =
> acl_smtp_helo"
> [FAILED]
>
> Alguém tem outra ideia?
>
> Atenciosamente,
> --
> Daniel Vasconcelos
> IT Analyst
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list