SMTP BruteForce

Базовая функциональность RouterOS
Ответить
Аватара пользователя
Samych
Сообщения: 3
Зарегистрирован: 05 фев 2018, 14:23
Откуда: Архангельск

SMTP BruteForce

Сообщение Samych » 05 фев 2018, 15:44

Доброго времени суток, уважаемые дамы и господа.

CCR1016-12G Firmware 3.41 Package 6.40.5 (stable)

С недавнего времени начали перебирать пароли при SMTP аутентификации, проще говоря, брутфорсят. Видимо, хотят почтовый сервер в качестве релея использовать.
т.к. за любимым микротиком есть Активная Директория с не менее любимым Exchange-сервером, то каждый неправильный ввод пароля в конце концов приводит к блокировке учетной записи пользователя в сети. Неприятно.
SMTP 25 порт опубликован dst-nat на почтовый сервер.
погуглил, как защититься от брутфорса, решил попробовать реализовать у себя. Но уперся.(
Исходил из того, что правила firewall-а цепочки forward обрабатываются после dst-nat.

/ip firewall nat
add action=netmap chain=dstnat comment=SMTP dst-address=MY_WHITE_IP dst-port=25 in-interface=ISP protocol=tcp to-addresses=MY_DMZ_MAIL to-ports=25

/ip firewall filter
add action=drop chain=forward comment="drop SMTP brute forcers" dst-port=25 in-interface=ISP protocol=tcp src-address-list=MAIL_XAKERS
add action=add-dst-to-address-list address-list=MAIL_XAKERS address-list-timeout=3h chain=forward content="5.7.3 Authentication unsuccessful" in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25

Отрабатывает, ловит, заносит, вроде бы все, что хотел. Но вот незадачка. Если случайно, например, настраивая рабочую почту сотруднику на смартфон, промахнуться с паролем, то его IP на три часа уже в блэклисте. Прошу подсказать, есть ли возможность временно разрешить, например, 3 попытки неверного ввода пароля, а уже потом "глушить".

С уважением, Олег.
С уважением, Олег.

Аватара пользователя
Chupaka
Сообщения: 990
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: SMTP BruteForce

Сообщение Chupaka » 05 фев 2018, 16:14

Можно сделать многоходовочку: не в один список добавлять, а в три, например: "жёлтую карточку" на минуту; вторую на пять минут; потом красную на много часов:

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward comment="drop SMTP brute forcers" dst-port=25 in-interface=ISP protocol=tcp src-address-list=MAIL_XAKERS

add chain=forward content="5.7.3 Authentication unsuccessful" dst-address-list=MAIL_WARN2 action=add-dst-to-address-list address-list=MAIL_XAKERS address-list-timeout=3h in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25

add chain=forward content="5.7.3 Authentication unsuccessful" dst-address-list=MAIL_WARN1 action=add-dst-to-address-list address-list=MAIL_WARN2 address-list-timeout=5m in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25

add chain=forward content="5.7.3 Authentication unsuccessful" action=add-dst-to-address-list address-list=MAIL_WARN1 address-list-timeout=1m in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25


Аватара пользователя
Samych
Сообщения: 3
Зарегистрирован: 05 фев 2018, 14:23
Откуда: Архангельск

Re: SMTP BruteForce

Сообщение Samych » 05 фев 2018, 16:17

:D Низкий поклон за совет. попробую
Upd
и, что характерно, работает. )))
ОГРОМНОЕ человеческое спасибо!!!
С уважением, Олег.

Аватара пользователя
Chupaka
Сообщения: 990
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: SMTP BruteForce

Сообщение Chupaka » 23 апр 2018, 12:21

О каком SMTP вообще речь?

Ответить