Доброго времени суток, уважаемые дамы и господа.
CCR1016-12G Firmware 3.41 Package 6.40.5 (stable)
С недавнего времени начали перебирать пароли при SMTP аутентификации, проще говоря, брутфорсят. Видимо, хотят почтовый сервер в качестве релея использовать.
т.к. за любимым микротиком есть Активная Директория с не менее любимым Exchange-сервером, то каждый неправильный ввод пароля в конце концов приводит к блокировке учетной записи пользователя в сети. Неприятно.
SMTP 25 порт опубликован dst-nat на почтовый сервер.
погуглил, как защититься от брутфорса, решил попробовать реализовать у себя. Но уперся.(
Исходил из того, что правила firewall-а цепочки forward обрабатываются после dst-nat.
/ip firewall nat
add action=netmap chain=dstnat comment=SMTP dst-address=MY_WHITE_IP dst-port=25 in-interface=ISP protocol=tcp to-addresses=MY_DMZ_MAIL to-ports=25
/ip firewall filter
add action=drop chain=forward comment="drop SMTP brute forcers" dst-port=25 in-interface=ISP protocol=tcp src-address-list=MAIL_XAKERS
add action=add-dst-to-address-list address-list=MAIL_XAKERS address-list-timeout=3h chain=forward content="5.7.3 Authentication unsuccessful" in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25
Отрабатывает, ловит, заносит, вроде бы все, что хотел. Но вот незадачка. Если случайно, например, настраивая рабочую почту сотруднику на смартфон, промахнуться с паролем, то его IP на три часа уже в блэклисте. Прошу подсказать, есть ли возможность временно разрешить, например, 3 попытки неверного ввода пароля, а уже потом "глушить".
С уважением, Олег.
[РЕШЕНО] SMTP BruteForce
-
- Сообщения: 7
- Зарегистрирован: 05 фев 2018, 14:23
- Откуда: Архангельск
[РЕШЕНО] SMTP BruteForce
Последний раз редактировалось Samych 31 окт 2018, 15:13, всего редактировалось 1 раз.
С уважением, Олег.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: SMTP BruteForce
Можно сделать многоходовочку: не в один список добавлять, а в три, например: "жёлтую карточку" на минуту; вторую на пять минут; потом красную на много часов:
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward comment="drop SMTP brute forcers" dst-port=25 in-interface=ISP protocol=tcp src-address-list=MAIL_XAKERS
add chain=forward content="5.7.3 Authentication unsuccessful" dst-address-list=MAIL_WARN2 action=add-dst-to-address-list address-list=MAIL_XAKERS address-list-timeout=3h in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25
add chain=forward content="5.7.3 Authentication unsuccessful" dst-address-list=MAIL_WARN1 action=add-dst-to-address-list address-list=MAIL_WARN2 address-list-timeout=5m in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25
add chain=forward content="5.7.3 Authentication unsuccessful" action=add-dst-to-address-list address-list=MAIL_WARN1 address-list-timeout=1m in-interface=DMZ_MAIL out-interface=ISP protocol=tcp src-port=25
-
- Сообщения: 7
- Зарегистрирован: 05 фев 2018, 14:23
- Откуда: Архангельск
Re: SMTP BruteForce
Низкий поклон за совет. попробую
Upd
и, что характерно, работает. )))
ОГРОМНОЕ человеческое спасибо!!!
Upd
и, что характерно, работает. )))
ОГРОМНОЕ человеческое спасибо!!!
С уважением, Олег.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: SMTP BruteForce
О каком SMTP вообще речь?
-
- Сообщения: 7
- Зарегистрирован: 05 фев 2018, 14:23
- Откуда: Архангельск
Re: [РЕШЕНО] SMTP BruteForce
Всеми любимый MS Exchange Server в связке с ORF . Сорри, но только сейчас заметил уточнение
С уважением, Олег.