公司的MAIL Server是CentOS 平台然后安装外购的MAIL SEVER运作
前阵子发现常常有外部IP使用SMTP在尝试登入公司某些主管的帐号
后来使用FAIL2BAN终于减少这样的状况
但是骇客的攻击也越来越高明
本来类似一小时测试10几次
我用FAIL2BAN 设定 10分钟登3次就BAN IP
他就会进化成 30分钟登三次
有时候我也看LOG 把一些零星的攻击IP都BAN掉
结果最近这种攻击开始出现最新的进化
虽然他目前是都登入一个公司不存在的帐号
然后每格大约10分钟
但是他现在的IP都是非常不固定而且每个IP就只有尝试登入一次就更换IP
想请问这样的攻击模式有阻挡的可能吗
我看IPTABLES 设定只能设定IP的范围好像不能挡住某些帐号的登入

如果贵公司是中大型企业,直接向网络警察或调查局报案从这骇客手法进阶又针对高阶主管,似乎想要干大票的当然自身防护同步进行如果没有用到帮信赖子领域做mail relay,直接把外部IP连mail relay功能关掉

小公司而已..朋友说IDP能解决但是太贵了

小公司就真的关掉外部IP的mail relay,毕竟在家要以公司名义寄信机会很小,真的有需要,可以用VPN连进来寄信.如果VPN还是一直被试,那就再搭配knockd或是寄信者固定IP连VPN

好的～我会参考看看这样的方案,感谢指教

你碰到的都是很传统的手法, 不可能完全滤掉不过只要你系统设定无误, 帐号密码没外泄, 不受影响

双因子认证

可以改pam设定加上google authentication

别想太多 要被针对攻击的可能性太低不信你把主管的信箱改成一堆乱码的帐号 还会不会被打真的还是会怕 那就设定VPN (然后换VPN被踹

以他的攻击频率其实被攻破可能性不高,只是LOG看了烦

在网络上有开port 就是注定被扫 这没什么好烦的啊

Gmail, hotmail等 每天不知道被try几万次!?