[РЕШЕНО] SMTP BruteForce
Добавлено: 05 фев 2018, 15:44
Доброго времени суток, уважаемые дамы и господа.
CCR1016-12G Firmware 3.41 Package 6.40.5 (stable)
С недавнего времени начали перебирать пароли при SMTP аутентификации, проще говоря, брутфорсят. Видимо, хотят почтовый сервер в качестве релея использовать.
т.к. за любимым микротиком есть Активная Директория с не менее любимым Exchange-сервером, то каждый неправильный ввод пароля в конце концов приводит к блокировке учетной записи пользователя в сети. Неприятно.
SMTP 25 порт опубликован dst-nat на почтовый сервер.
погуглил, как защититься от брутфорса, решил попробовать реализовать у себя. Но уперся.(
Исходил из того, что правила firewall-а цепочки forward обрабатываются после dst-nat.
/ip firewall nat
add action=netmap chain=dstnat comment=SMTP dst-address=MY_WHITE_IP dst-port=25 in-interface=ISP protocol=tcp to-addresses=MY_DMZ_MAIL to-ports=25
/ip firewall filter
add action=drop chain=forward comment="drop SMTP brute forcers" dst-port=25 in-interface=ISP protocol=tcp src-address-list=MAIL_XAKERS
add action=add-dst-to-address-list address-list=MAIL_XAKERS address-list-timeout=3h chain=forward content="5.7.3 Authentication unsuccessful" in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25
Отрабатывает, ловит, заносит, вроде бы все, что хотел. Но вот незадачка. Если случайно, например, настраивая рабочую почту сотруднику на смартфон, промахнуться с паролем, то его IP на три часа уже в блэклисте. Прошу подсказать, есть ли возможность временно разрешить, например, 3 попытки неверного ввода пароля, а уже потом "глушить".
С уважением, Олег.
CCR1016-12G Firmware 3.41 Package 6.40.5 (stable)
С недавнего времени начали перебирать пароли при SMTP аутентификации, проще говоря, брутфорсят. Видимо, хотят почтовый сервер в качестве релея использовать.
т.к. за любимым микротиком есть Активная Директория с не менее любимым Exchange-сервером, то каждый неправильный ввод пароля в конце концов приводит к блокировке учетной записи пользователя в сети. Неприятно.
SMTP 25 порт опубликован dst-nat на почтовый сервер.
погуглил, как защититься от брутфорса, решил попробовать реализовать у себя. Но уперся.(
Исходил из того, что правила firewall-а цепочки forward обрабатываются после dst-nat.
/ip firewall nat
add action=netmap chain=dstnat comment=SMTP dst-address=MY_WHITE_IP dst-port=25 in-interface=ISP protocol=tcp to-addresses=MY_DMZ_MAIL to-ports=25
/ip firewall filter
add action=drop chain=forward comment="drop SMTP brute forcers" dst-port=25 in-interface=ISP protocol=tcp src-address-list=MAIL_XAKERS
add action=add-dst-to-address-list address-list=MAIL_XAKERS address-list-timeout=3h chain=forward content="5.7.3 Authentication unsuccessful" in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25
Отрабатывает, ловит, заносит, вроде бы все, что хотел. Но вот незадачка. Если случайно, например, настраивая рабочую почту сотруднику на смартфон, промахнуться с паролем, то его IP на три часа уже в блэклисте. Прошу подсказать, есть ли возможность временно разрешить, например, 3 попытки неверного ввода пароля, а уже потом "глушить".
С уважением, Олег.
Низкий поклон за совет. попробую