Estas aquíBlogs / blog de calel / Eliminando ataques de diccionario con Exim

Eliminando ataques de diccionario con Exim


Por calel Enviado el 10 Octubre 2009

Recientemente empecé a experimentar ataques al puerto SMTP con miles de correos con nombres generados al azar, los así llamados ataques de diccionario. Encontré una solución que fue milagrosa. Los ataques cesaron prácticamente de inmediato. Reproduzco la configuración hecha en exim4.

Edita /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt y agrega,

# Drop the recipient if the previous attempt failed
drop
   condition = ${if = {${eval:$rcpt_fail_count}}{1}{yes}{no}}
   message = too many bad recipients
   delay = 2m

justo después de aceptar una conexión autenticada. Actualiza y reinicia exim4,

# update-exim4.conf
# /etc/init.d/exim4 restart

La condición es igual a "yes" después del primer fallo. Aparentemente la demora impuesta por la condición (2 minutos) es muy costosa para el emisor del mensaje fallido. Tanto así, que los ataques cesan rápidamente.

Sin votos aún