saanvi, AS-ками баньте ненужные страны, и не парьтесь
saanvi, ну, положим, меня тоже интересует, чем люди занимаются.... как ни посмотришь в лог - одни хаки, чуть xmlrpc.php оставишь незащищенным - сразу долбятся... но это риторический вопрос, боты были, есть и всегда будут. Решение - тупо заблокировать и точка.
У меня в iptables политика DROP по умолчанию. А что разрешено - то разрешено. Проблема возникает при установке темы Wordpress. Очень долго идет установка (любой темы). Чувствую, что есть какая-то блокировка, которая мешает. Не могу понять, что где нужно разрешить для того, чтобы всё было успешно.
С нейм-сервером точно такая же ситуация была: очень долго шел рестарт сервера, а rndc reload вообще проваливалось. В результате была найдена ошибка - блокирован 953 порт, разрешил туда доступ, после чего всё начало в секунду делатья.
Здесь по ощущениям то же самое. Подскажите, где что нужно разрешить? Или, по крайней мере, как это увидеть?
saanvi,
Всё же просто...
предположим, вы узнали, что вас "имеет" Индия. Вам нужен кто-нибудь из этой страны? Нет? Ну и отлично:
1. Узнаём AS, к которой принадлежит адрес
2. Баним скриптом целую AS через ipset.
Правда тут есть одно условие. Иногда в одной и той же AS попадаются адреса, принадлежащие другим странам. Их вы увидите по флагу страны. Тут уж смотрите - если страна вам нужна, значит просто не включайте её в список блокировки.
Так проходите по каждому адресу и, если страна заведомо вам не нужна - блокируйте целую AS.
Потом не забудьте сделать что-то типа:
ну а спустя некоторое время после того, как блокировки будут действовать, сделайте так:
и посмотрите, насколько эффективны блокировки, иначе говоря, сколько пакетов заблокировалось по данному направлению.
daga,
Немножко некорректно. У Вас A-запись домена направлена на определенный IP - того сервера, где размещены сайты. Но это не имеет никакого отношения к почте. За это отвечает mx-запись.
Что касается скриптов сервера - ну Вы же прописываете адрес получателя? Приведите тогда пример скрипта здесь?
foxi, честно? Очень большой холивар можно развести на эту тему... ну включаю и всё))) кстати по логам спамят пока в основном с ipv4. Просто в данный файл я включаю все адреса. Для тех, кто не хочет блокировать ipv6 - там очень простые изменения в файле надо произвести и всё, будет блокироваться только ipv4.
копайте в сторону DNS... должна быть установлена PTR для IP. Должно быть прописано верное SPF - это всё делается в панели регистратора домена. Если этих двух вещей нет - сделайте обязательно.
По логам suffix прав - нужно глянуть, что пишет почтовик в момент отправки письма. Если в логах вообще ничего нет (в чём я сильно сомневаюсь) - возможно IP SMTP google заблокирован в iptables.
Берёте отсюда конкретную AS, например вот эту. Находите таблицу с подсетями и копируете её всю в файлик. Прямо всю, вместе с description и Num IPs. Например в /tmp/china. Далее делаете так:
Получаете файлик, где будут только одни подсети в столбик. Делаем следующее:
В результате у вас созданный блок в ipset заполнится китайскими подсетями. Далее так:
Очищаем файл, куда копировали столбцы со страницы:
Потом переходим на страницу и повторяем все описанные действия со следующей AS. Только с небольшим условием:
У меня так, в принципе, и есть, политика запрета. Доступ разрешен на почтовые порты безотносительно IP, поэтому отдельно идет запрет по IP.
А 0,5 миллиарда IP потому что спам валится с Китая, Тайваня, Индонезии, Польши, Малайзии.... да откуда только не валится... я прекрасно знаю, какие мне письма должны приходить :) да, редко, но случается, что почтовый сервер отправителя оказывается заблокированным. Не проблема, разблокирую и письмо всё равно дойдет. Это единичные случаи )
Тут просто был разговор про селектел... я попытался показать, что с таким подходом, как у меня, можно просто роботов отбивать без лишней траты времени на абузы и т.д.... ибо спама СТОЛЬКО, что на одного наабузите, а за это время к вам 100 свалится... ну это лично мои наблюдения, я не претендую на правоту :)))---------- Добавлено 13.11.2019 в 05:50 ----------
Как показала моя практика, если блокировать единичный IP, спамеры начинают с другого IP этой же подсети долбиться... поэтому да, сразу блок по подсети. Необязательно /24, смотря что покажет whois.... иногда и /16, иногда - /28.
Так а я разве не помогаю? Выложил вот, как эффективно заблокировать.
Между прочим, мне часто пытаются приходить письма с IP, которые уже заблокированы в базах. Да, письмо не приходит, но трафик на сервер в любом случае идет... хотя бы в постфиксе просто отмечается попытка доставки и лог того, что IP заблокирован таким-то и таким-то.
Если же блокировать в ipset, до сервера трафик вообще не дойдет, и отметок (а значит и замусоривания) в логах не будет.
Пробовал кстати fail2ban. Не нравится, что он блокирует конкретные IP... а если их много? У меня вот на сервере по самым скромным подсчётам заблокировано 0,5 миллиарда IP адресов... но они все заблокированы по подсетям... /24, /23, /22 и т.д.... вплоть до /9. Представьте, что было бы, если бы их все fail2ban блокировал... и да, насколько я знаю, там период есть, после которого IP разблокируется. А я как внес в бан - так и всё, я сам определяю, хочу я разблокировать или нет.
Ни в коем случае никому не навязываю свой метод :) просто у меня свой почтовый сервер уже лет 5, за это время накопилось достаточно опыта в администрировании... ну и тот факт, что ни один IP, который у меня был, не зарегистрирован ни в одной спамерской базе, тоже говорит о многом :)
