Prije da ti je provaljen password od jednog ili više korisnika pa korite SMTP AUTH da šalju sa njihovih naloga... Nisam to jednom vidio... Kasnije objasni ljudima da pero username ne može imati pero password...

Proveri da nisi zrtva najnovijeg rootkita: http://www.webhostingtalk.com/showthread.php?t=1235797

Nema rootkit (valjda), nije provaljen ni nalog, a šta i kako je to bilo i dalje nemam pojma.

U svakom slučaju, u jednom trenutku mi je fail2ban pokazivao 650 blokiranih adresa, pa sam napravio ovo:



Ovo je uspešno blokiralo sve napade sa hinet.net (mada hinet.net ima još mnogo adresa ali sa kojih ne dolaze napadi), tako da evo posle nekoliko dana u logovima polako prestaje da bude gužva (tj. polako odustaje od daljih pokušaja).

Najgore što ni nakon 80 stranica naglabanja, niko nema pojma kako upadaju :)

Sendmail je relikt prošlosti i tu je kraj čitave priče.
Jedino ispravno riješenje ovoga, jeste prebaciti se na Postfix. Sve ostalo je igrarija.

Nevezano za temu, ali umesto što za svaki ip opseg dodaješ po dva nova pravila koristi ip set-ove (man ipset). Napravi ipset tipa hash:net i dodaj sve te /16 u njega.
Onda ti trebaju samo dva pravila koja src match-uju na taj set.

Nema potrebe da rec hacker stavljas pod navodnike, mada se napadac moze nazvati i squatter.

Postfix je svakako popularniji, logicniji i (po meni takodje) bolji izbor MUA, ali se ne slazem da je relikt proslosti. On moze uspesno da sljaka, samo treba znati s njim.

Blokiranjem IP nisi resio nista, osim sto si odsekao deo interneta od mail komunikacije. Ukoliko dovoljno dugo nastavite i napadac i ti, krajnji rezultat bio bi jednak iskljucivanju servera iz struje. A napadac uopste ne mora dolaziti sa tih ip adresa, mozda ih fejkuje ili koristi asset boksove.

Situaciju mozes da resis tako sto ces:

1) Fizicki razdvojiti servere sa incoming i outgoing mail (cuo sam da moze i preko virtualnih masina, ali ja to nisam probao)
2.1) Onemoguciti pristup outgoing serveru spolja (dakle, mail ce moci da salju korisnici samo iz lan); ili
2.2) Pristup outgoing serveru spolja omoguciti samo uz jaku autentifikaciju (TLS/SASL/SSL)

Evo slike kako tako nesto (i jace) izgleda
http://www.ualberta.ca/~beck/mail.jpg

Samo da spomenem da izabrani OS nema bas dobru reputaciju sa SSL
http://www.elitesecurity.org/t...e-predvidljive-random-kljuceve

Naravno, ne bi skodio ni clean install servera i nove lozinke za sve, tacnije, to bi se podrazumevalo. Najzad, podrazumeva se da mail server treba da bude redovno azuriran u buducnosti.

Evo jos par korisnih linkova.
http://www.kernel-panic.it/openbsd/mail/
http://nomoa.com/bsd/comms/mail/postfix/server.html

Hmmm, ne nađoh ipset ni na Slekveru, ni Debian, Ubuntu, Centos... u stvari Centos 6 ga nalazi sa "yum search ipset". Što je toliki raritet? Pogledaću jednom prilikom kakve akrobacije mogu sa njim da se smisle.



Sa ovim se ne bih složio. Na koji način može da lažira adresu kada je komunikacija tokom slanja mail-a dvosmerna? Ako je adresa lažirana, protokol se ne može uspostaviti. Ili ja propuštam neki detalj?

Što se tiče "asset boksova", nikad čuo za taj izraz. (?)

Dakle:

1) Ti ne znas kako napadac moze da fejkuje ip adresu
2) Ja ne znam kako napadac moze da fejkuje ip adresu
Da li iz toga sledi:
3.1) Napadac ne moze da fejkuje ip adresu
ili
3.2) Nas dvojica ne znamo kako napadac moze da fejkuje ip adresu

Moj glas ide 3.2

Asset je engleska rec za srpski pravni pojam "imovina". U internet
zargonu prevodi se sa "posedovanje". Oznacava kompromitovane
kompjutere kojima napadac pristupa isto onako kako pristupa tvom mail
serveru, tj. "poseduje" ih.

Javi sta si uradio, mozda jos nekome, nekada, bude zatrebalo.