Bài viết này có nội dung phân tích và giải pháp chặn botnet SPAM quốc tế và hướng dẫn cài đặt plugin chống thư rác vào tường lửa postfix - postfwdin postfix MTA.
Nếu một tên miền thư xuất hiện trong một trong các danh sách đen tên miền thư, các máy chủ thư khác sẽ ngừng chấp nhận và chuyển tiếp email của tên miền đó. Điều này thực tế sẽ cấm tên miền đó khỏi phần lớn các nhà cung cấp thư và cấm khách hàng của nhà cung cấp gửi email. Chỉ có một điều mà nhà cung cấp thư có thể làm sau đó: yêu cầu nhà cung cấp danh sách đen xóa tên miền khỏi danh sách hoặc thay đổi địa chỉ IP và tên miền của máy chủ thư.
Việc bị đưa vào danh sách đen thư rất dễ dàng khi nhà cung cấp thư không có biện pháp bảo vệ chống lại những kẻ gửi thư rác. Chỉ cần một tài khoản email của khách hàng bị xâm phạm mà tin tặc sẽ bắt đầu gửi thư rác là cần thiết để xuất hiện trong danh sách đen.
Có một số cách tin tặc gửi thư rác từ các tài khoản email bị xâm phạm. Trong bài viết này, tôi muốn chỉ cho bạn cách giảm thiểu hoàn toàn những kẻ gửi thư rác botnet quốc tế, những kẻ này đặc trưng bởi việc đăng nhập vào các tài khoản email từ nhiều địa chỉ IP nằm ở nhiều quốc gia trên toàn thế giới.
Bước đầu tiên là phân tích hành vi của một botnet spam quốc tế được thực hiện bằng cách theo dõi một tài khoản email bị xâm phạm. Tôi đã tạo một lệnh bash đơn giản để chọn địa chỉ IP đăng nhập sasl của tài khoản email bị xâm phạm từ nhật ký email đăng nhập postfwd.
Dữ liệu trong bảng sau được đổ ra 90 phút sau khi một tài khoản email bị xâm phạm và chứa các thuộc tính sau:
Trong bảng tiếp theo, chúng ta có thể thấy sự phân bổ địa chỉ IP theo quốc gia:
Dựa trên các bảng này có thể rút ra nhiều sự kiện mà chúng tôi thiết kế plugin của mình:
Chúng tôi đã thiết kế và triển khai plugin đếm số lượng quốc gia duy nhất mà người dùng đã đăng nhập vào tài khoản của mình bằng xác thực sasl. Sau đó, trong cấu hình postfwd, bạn có thể đặt giới hạn cho số lượng quốc gia và sau khi vượt quá giới hạn, người dùng sẽ được chọn mã smtp trả lời và bị chặn gửi email.
Tôi đã sử dụng plugin này trong một công ty cung cấp dịch vụ internet cỡ trung trong 6 tháng và hiện tại plugin tự động phát hiện hơn 50 người dùng bị xâm phạm mà không cần bất kỳ sự can thiệp nào từ phía quản trị viên. Một sự thật thú vị khác sau 6 tháng sử dụng là sau khi tìm thấy kẻ gửi thư rác và gửi mã SMTP 544 (Không tìm thấy máy chủ - không có trong DNS) đến tài khoản bị xâm phạm (được gửi trực tiếp từ postfwd), botnet đã ngừng cố gắng đăng nhập vào các tài khoản bị xâm phạm. Có vẻ như ứng dụng spam botnet rất thông minh và không muốn lãng phí tài nguyên botnet. Gửi các mã SMTP khác không ngăn được botnet thử.
Plugin có sẵn trên github của công ty tôi - https://github.com/Vnet-as/postfwd-anti-geoip-spam-plugin
1. Đầu tiên, hãy cài đặt và định cấu hình postfix với xác thực sasl. Có rất nhiều hướng dẫn tuyệt vời về cài đặt và cấu hình postfix, do đó tôi sẽ tiếp tục ngay với cài đặt postfwd.
2. Việc tiếp theo sau khi bạn đã cài đặt postfix với xác thực sasl là cài đặtpostfwd. Trên hệ thống Debian, bạn có thể thực hiện bằng trình quản lý gói apt bằng cách thực thi lệnh sau (Lệnh này cũng sẽ tự động tạo người dùng postfw và tệp /etc/default/postfwd mà chúng ta cần cập nhật với cấu hình chính xác để tự động khởi động).
3. Bây giờ chúng ta tiến hành tải xuống dự án git bằng plugin postfwd của mình:
4. Nếu bạn không có git hoặc không muốn sử dụng git, bạn có thể tải xuống tệp plugin thô:
5. Sau đó cập nhật cấu hình mặc định của postfwd trong tệp /etc/default/postfwd và thêm tham số plugin '--plugins /etc/postfix/postfwd-anti-geoip-spam-plugin/postfwd-anti-spam.plugin' vào đó:
6. Bây giờ hãy tạo một tệp cấu hình postfwd cơ bản với quy tắc botnet chống thư rác:
7. Cập nhật tệp cấu hình postfix /etc/postfix/main.cf để sử dụng dịch vụ chính sách trên cổng postfwd mặc định 10040 (hoặc cổng khác theo cấu hình trong /etc/default/postfwd). Cấu hình của bạn phải có tùy chọn sau trong dòng smtpd_recipient_restrictions. Lưu ý rằng hạn chế sau đây không hoạt động nếu không có các hạn chế khác như một trong số reject_unknown_recipient_domain hoặc reject_unauth_destination.
8. Cài đặt các phụ thuộc của plugin:
9. Cài đặt cơ sở dữ liệu MySQL hoặc PostgreSQL và cấu hình một người dùng sẽ được sử dụng trong plugin.
10. Cập nhật phần kết nối cơ sở dữ liệu trong plugin để tham chiếu đến cấu hình backend cơ sở dữ liệu của bạn. Ví dụ này hiển thị cấu hình MySQL cho người dùng testuser và database test.
11. Bây giờ hãy khởi động lại dịch vụ postfix và postfwd.
Giới thiệu
Một trong những nhiệm vụ quan trọng và khó khăn nhất đối với mọi công ty cung cấp dịch vụ thư là tránh xa danh sách đen thư.Nếu một tên miền thư xuất hiện trong một trong các danh sách đen tên miền thư, các máy chủ thư khác sẽ ngừng chấp nhận và chuyển tiếp email của tên miền đó. Điều này thực tế sẽ cấm tên miền đó khỏi phần lớn các nhà cung cấp thư và cấm khách hàng của nhà cung cấp gửi email. Chỉ có một điều mà nhà cung cấp thư có thể làm sau đó: yêu cầu nhà cung cấp danh sách đen xóa tên miền khỏi danh sách hoặc thay đổi địa chỉ IP và tên miền của máy chủ thư.
Việc bị đưa vào danh sách đen thư rất dễ dàng khi nhà cung cấp thư không có biện pháp bảo vệ chống lại những kẻ gửi thư rác. Chỉ cần một tài khoản email của khách hàng bị xâm phạm mà tin tặc sẽ bắt đầu gửi thư rác là cần thiết để xuất hiện trong danh sách đen.
Có một số cách tin tặc gửi thư rác từ các tài khoản email bị xâm phạm. Trong bài viết này, tôi muốn chỉ cho bạn cách giảm thiểu hoàn toàn những kẻ gửi thư rác botnet quốc tế, những kẻ này đặc trưng bởi việc đăng nhập vào các tài khoản email từ nhiều địa chỉ IP nằm ở nhiều quốc gia trên toàn thế giới.
Cách thức hoạt động của botnet quốc tế
Những kẻ tấn công sử dụng botnet quốc tế để gửi thư rác hoạt động rất hiệu quả và không dễ theo dõi. Tôi bắt đầu phân tích hành vi của một botnet spam quốc tế như vậy vào tháng 10 năm 2016 và triển khai một plugin cho tường lửa postfix - postfwd, plugin này thông minh sẽ cấm tất cả những kẻ gửi thư rác khỏi các botnet quốc tế.Bước đầu tiên là phân tích hành vi của một botnet spam quốc tế được thực hiện bằng cách theo dõi một tài khoản email bị xâm phạm. Tôi đã tạo một lệnh bash đơn giản để chọn địa chỉ IP đăng nhập sasl của tài khoản email bị xâm phạm từ nhật ký email đăng nhập postfwd.
Dữ liệu trong bảng sau được đổ ra 90 phút sau khi một tài khoản email bị xâm phạm và chứa các thuộc tính sau:
- Địa chỉ IP mà tin tặc đã đăng nhập vào tài khoản (ip_address)
- Mã quốc gia tương ứng của các địa chỉ IP từ cơ sở dữ liệu GeoIP (state_code)
- Số lần đăng nhập sasl mà tin tặc đã thực hiện từ một địa chỉ IP (đăng nhập)
Mã:
+-------------------+-------------+-------------+ | địa chỉ ip | mã trạng thái | đăng nhập_count | +--------+-------------+-------------+ | 41.63.176.___ | AO | 8 | | 200.80.227.___ | AR | 41 | | 120.146.134.___ | AU | 18 | | 79.132.239.___ | ĐƯỢC | 15 | | 184.149.27.___ | CA | 1 | | 24.37.20.___ | CA | 13 | | 70.28.77.___ | CA | 21 | | 70.25.65.___ | CA | 23 | | 72.38.177.___ | CA | 24 | | 174.114.121.___ | CA | 27 | | 206.248.139.___ | CA | 4 | | 64.179.221.___ | CA | 4 | | 184.151.178.___ | CA | 40 | | 24.37.22.___ | CA | 51 | | 209.250.146.___ | CA | 66 | | 209.197.185.___ | CA | 8 | | 47.48.223.___ | CA | 8 | | 70.25.41.___ | CA | 81 | | 184.71.9.___ | CA | 92 | | 84.226.27.___ | CH | 5 | | 59.37.9.___ | CN | 6 | | 181.143.131.___ | CO | 24 | | 186.64.177.___ | CR | 6 | | 77.104.244.___ | CZ | 1 | | 78.108.109.___ | CZ | 18 | | 185.19.1.___ | CZ | 58 | | 95.208.250.___ | DE | 1 | | 79.215.89.___ | DE | 15 | | 47.71.223.___ | DE | 23 | | 31.18.251.___ | DE | 27 | | 2.164.183.___ | DE | 32 | | 79.239.97.___ | DE | 32 | | 80.187.103.___ | DE | 54 | | 109.84.1.___ | DE | 6 | | 212.97.234.___ | ĐK | 49 | | 190.131.134.___ | EC | 42 | | 84.77.172.___ | ES | 1 | | 91.117.105.___ | ES | 10 | | 185.87.99.___ | ES | 14 | | 95.16.51.___ | ES | 15 | | 95.127.182.___ | ES | 16 | | 195.77.90.___ | ES | 19 | | 188.86.18.___ | ES | 2 | | 212.145.210.___ | ES | 38 | | 148.3.169.___ | ES | 39 | | 95.16.35.___ | ES | 4 | | 81.202.61.___ | ES | 45 | | 88.7.246.___ | ES | 7 | | 81.36.5.___ | ES | 8 | | 88.14.192.___ | ES | 8 | | 212.97.161.___ | ES | 9 | | 193.248.156.___ | FR | 5 | | 82.34.32.___ | GB | 1 | | 86.180.214.___ | GB | 11 | | 81.108.174.___ | GB | 12 | | 86.11.209.___ | GB | 13 | | 86.150.224.___ | GB | 15 | | 2.102.31.___ | GB | 17 | | 93.152.88.___ | GB | 18 | | 86.178.68.___ | GB | 19 | | 176.248.121.___ | GB | 2 | | 2.97.227.___ | GB | 2 | | 62.49.34.___ | GB | 2 | | 79.64.78.___ | GB | 20 | | 2.126.140.___ | GB | 22 | | 87.114.222.___ | GB | 23 | | 188.29.164.___ | GB | 24 | | 82.11.14.___ | GB | 26 | | 81.168.46.___ | GB | 29 | | 86.136.125.___ | GB | 3 | | 90.199.85.___ | GB | 3 | | 86.177.93.___ | GB | 31 | | 82.32.186.___ | GB | 4 | | 79.68.153.___ | GB | 46 | | 151.226.42.___ | GB | 6 | | 2.123.234.___ | GB | 6 | | 90.217.211.___ | GB | 6 | | 212.159.148.___ | GB | 68 | | 88.111.94.___ | GB | 7 | | 77.98.186.___ | GB | 9 | | 41.222.232.___ | GH | 4 | | 176.63.29.___ | HU | 30 | | 86.47.237.___ | IE | 10 | | 37.46.22.___ | IE | 4 | | 95.83.249.___ | IE | 4 | | 109.79.69.___ | IE | 6 | | 79.176.100.___ | IL | 13 | | 122.175.34.___ | VÀO | 19 | | 114.143.5.___ | VÀO | 26 | | 115.112.159.___ | VÀO | 4 | | 79.62.179.___ | CNTT | 11 | | 79.53.217.___ | CNTT | 19 | | 188.216.54.___ | CNTT | 2 | | 46.44.203.___ | CNTT | 2 | 80.86.57.___ | CNTT | 2 | | 5.170.192.___ | CNTT | 27 | | 80.23.42.___ | CNTT | 3 | | 89.249.177.___ | CNTT | 3 | | 93.39.141.___ | CNTT | 31 | | 80.183.6.___ | CNTT | 34 | | 79.25.107.___ | CNTT | 35 | | 81.208.25.___ | CNTT | 39 | | 151.57.154.___ | CNTT | 4 | | 79.60.239.___ | CNTT | 42 | | 79.47.25.___ | CNTT | 5 | | 188.216.114.___ | CNTT | 7 | | 151.31.139.___ | CNTT | 8 | | 46.185.139.___ | JO | 9 | | 211.180.177.___ | KR | 22 | | 31.214.125.___ | KW | 2 | | 89.203.17.___ | KW | 3 | | 94.187.138.___ | KW | 4 | | 209.59.110.___ | LC | 18 | | 41.137.40.___ | MA | 12 | | 189.211.204.___ | MX | 5 | | 89,98,64.___ | NL | 6 | | 195.241.8.___ | NL | 9 | | 195.1.82.___ | KHÔNG | 70 | | 200.46.9.___ | PA | 30 | | 111.125.66.___ | PH | 1 | | 89.174.81.___ | PL | 7 | | 64.89.12.___ | PR | 24 | | 82.154.194.___ | PT | 12 | | 188.48.145.___ | SA | 8 | | 42.61.41.___ | SG | 25 | | 87.197.112.___ | SK | 3 | | 116.58.231.___ | TH | 4 | | 195.162.90.___ | UA | 5 | | 108.185.167.___ | Mỹ | 1 | | 108.241.56.___ | Mỹ | 1 | | 198.24.64.___ | Hoa Kỳ | 1 | | 199.249.233.___ | Hoa Kỳ | 1 | | 204.8.13.___ | Hoa Kỳ | 1 | | 206.81.195.___ | Hoa Kỳ | 1 | | 208.75.20.___ | Hoa Kỳ | 1 | | 24.149.8.___ | Hoa Kỳ | 1 | | 24.178.7.___ | Hoa Kỳ | 1 | | 38.132.41.___ | Hoa Kỳ | 1 | | 63.233.138.___ | Hoa Kỳ | 1 | | 68.15.198.___ | Hoa Kỳ | 1 | | 72.26.57.___ | Hoa Kỳ | 1 | | 72.43.167.___ | Hoa Kỳ | 1 | | 74.65.154.___ | Hoa Kỳ | 1 | | 74.94.193.___ | Hoa Kỳ | 1 | | 75.150.97.___ | Hoa Kỳ | 1 | | 96.84.51.___ | Hoa Kỳ | 1 | | 96.90.244.___ | Hoa Kỳ | 1 | | 98.190.153.___ | Hoa Kỳ | 1 | | 12.23.72.___ | Hoa Kỳ | 10 | | 50.225.58.___ | Hoa Kỳ | 10 | | 64.140.101.___ | Hoa Kỳ | 10 | | 66.185.229.___ | Hoa Kỳ | 10 | | 70.63.88.___ | Hoa Kỳ | 10 | | 96.84.148.___ | Hoa Kỳ | 10 | | 107.178.12.___ | Hoa Kỳ | 11 | | 170.253.182.___ | Hoa Kỳ | 11 | | 206.127.77.___ | Hoa Kỳ | 11 | | 216.27.83.___ | Hoa Kỳ | 11 | | 72.196.170.___ | Hoa Kỳ | 11 | | 74.93.168.___ | Hoa Kỳ | 11 | | 108.60.97.___ | Hoa Kỳ | 12 | | 205.196.77.___ | Hoa Kỳ | 12 | | 63.159.160.___ | Hoa Kỳ | 12 | | 204.93.122.___ | Hoa Kỳ | 13 | | 206.169.117.___ | Hoa Kỳ | 13 | | 208.104.106.___ | Hoa Kỳ | 13 | | 65.28.31.___ | Hoa Kỳ | 13 | | 66.119.110.___ | Hoa Kỳ | 13 | | 67.84.164.___ | Hoa Kỳ | 13 | | 69.178.166.___ | Hoa Kỳ | 13 | | 71.232.229.___ | Hoa Kỳ | 13 | | 96.3.6.___ | Hoa Kỳ | 13 | | 205.214.233.___ | Hoa Kỳ | 14 | | 38.96.46.___ | Hoa Kỳ | 14 | | 67.61.214.___ | Hoa Kỳ | 14 | | 173.233.58.___ | Hoa Kỳ | 141 | | 64.251.53.___ | Hoa Kỳ | 15 | | 73.163.215.___ | Hoa Kỳ | 15 | | 24.61.176.___ | Hoa Kỳ | 16 | | 67.10.184.___ | Hoa Kỳ | 16 | | 173.14.42.___ | Hoa Kỳ | 17 | | 173.163.34.___ | Hoa Kỳ | 17 | | 104.138.114.___ | Hoa Kỳ | 18 | | 23.24.168.___ | Hoa Kỳ | 18 | | 50.202.9.___ | Hoa Kỳ | 19 | | 96.248.123.___ | Hoa Kỳ | 19 | | 98.191.183.___ | Hoa Kỳ | 19 | | 108.215.204.___ | Hoa Kỳ | 2 | | 50.198.37.___ | Hoa Kỳ | 2 | | 69.178.183.___ | Hoa Kỳ | 2 | | 74.190.39.___ | Hoa Kỳ | 2 | | 76.90.131.___ | Hoa Kỳ | 2 | | 96.38.10.___ | Hoa Kỳ | 2 | | 96.60.117.___ | Hoa Kỳ | 2 | | 96.93.6.___ | Hoa Kỳ | 2 | | 74.69.197.___ | Hoa Kỳ | 21 | | 98.140.180.___ | Hoa Kỳ | 21 | | 50.252.0.___ | Hoa Kỳ | 22 | | 69.71.200.___ | Hoa Kỳ | 22 | | 71.46.59.___ | Hoa Kỳ | 22 | | 74.7.35.___ | Hoa Kỳ | 22 | | 12.191.73.___ | Hoa Kỳ | 23 | | 208.123.156.___ | Hoa Kỳ | 23 | | 65.190.29.___ | Hoa Kỳ | 23 | | 67.136.192.___ | Hoa Kỳ | 23 | | 70.63.216.___ | Hoa Kỳ | 23 | | 96.66.144.___ | Hoa Kỳ | 23 | | 173.167.128.___ | Hoa Kỳ | 24 | | 64.183.78.___ | Hoa Kỳ | 24 | | 68.44.33.___ | Hoa Kỳ | 24 | | 23.25.9.___ | Hoa Kỳ | 25 | | 24.100.92.___ | Hoa Kỳ | 25 | | 107.185.110.___ | Hoa Kỳ | 26 | | 208.118.179.___ | Hoa Kỳ | 26 | | 216.133.120.___ | Hoa Kỳ | 26 | 75.182.97.___ | Hoa Kỳ | 26 | | 107.167.202.___ | Hoa Kỳ | 27 | | 66.85.239.___ | Hoa Kỳ | 27 | | 71.122.125.___ | Hoa Kỳ | 28 | | 74.218.169.___ | Hoa Kỳ | 28 | | 76.177.204.___ | Hoa Kỳ | 28 | | 216.165.241.___ | Hoa Kỳ | 29 | | 24.178.50.___ | Hoa Kỳ | 29 | | 63.149.147.___ | Hoa Kỳ | 29 | | 174.66.84.___ | Hoa Kỳ | 3 | | 184.183.156.___ | Hoa Kỳ | 3 | | 50.233.39.___ | Hoa Kỳ | 3 | | 70.183.165.___ | Hoa Kỳ | 3 | | 71.178.212.___ | Hoa Kỳ | 3 | | 72.175.83.___ | Hoa Kỳ | 3 | | 74.142.22.___ | Hoa Kỳ | 3 | | 98.174.50.___ | Hoa Kỳ | 3 | | 98.251.168.___ | Hoa Kỳ | 3 | | 206.74.148.___ | Hoa Kỳ | 30 | | 24.131.201.___ | Hoa Kỳ | 30 | | 50.80.199.___ | Hoa Kỳ | 30 | | 69.251.49.___ | Hoa Kỳ | 30 | | 108.6.53.___ | Hoa Kỳ | 31 | | 74.84.229.___ | Hoa Kỳ | 31 | | 172.250.78.___ | Hoa Kỳ | 32 | | 173.14.75.___ | Hoa Kỳ | 32 | | 216.201.55.___ | Hoa Kỳ | 33 | | 40.130.243.___ | Hoa Kỳ | 33 | | 164.58.163.___ | Hoa Kỳ | 34 | | 70.182.187.___ | Hoa Kỳ | 35 | | 184.170.168.___ | Hoa Kỳ | 37 | | 198.46.110.___ | Hoa Kỳ | 37 | | 24.166.234.___ | Hoa Kỳ | 37 | | 65.34.19.___ | Hoa Kỳ | 37 | | 75.146.12.___ | Hoa Kỳ | 37 | | 107.199.135.___ | Hoa Kỳ | 38 | | 206.193.215.___ | Hoa Kỳ | 38 | | 50.254.150.___ | Hoa Kỳ | 38 | | 69.54.48.___ | Hoa Kỳ | 38 | | 172.8.30.___ | Hoa Kỳ | 4 | | 24.106.124.___ | Hoa Kỳ | 4 | | 65.127.169.___ | Hoa Kỳ | 4 | | 71.227.65.___ | Hoa Kỳ | 4 | | 71.58.72.___ | Hoa Kỳ | 4 | | 74.9.236.___ | Hoa Kỳ | 4 | | 12.166.108.___ | Hoa Kỳ | 40 | | 174.47.56.___ | Hoa Kỳ | 40 | | 66.76.176.___ | Hoa Kỳ | 40 | | 76.111.90.___ | Hoa Kỳ | 41 | | 96.10.70.___ | Hoa Kỳ | 41 | | 97.79.226.___ | Hoa Kỳ | 41 | | 174.79.117.___ | Hoa Kỳ | 42 | | 70.138.178.___ | Hoa Kỳ | 42 | | 64.233.225.___ | Hoa Kỳ | 43 | | 97.89.203.___ | Hoa Kỳ | 43 | | 12.28.231.___ | Hoa Kỳ | 44 | | 64.235.157.___ | Hoa Kỳ | 45 | | 76.110.237.___ | Hoa Kỳ | 45 | | 71.196.10.___ | Hoa Kỳ | 46 | | 173.167.177.___ | Hoa Kỳ | 49 | | 24.7.92.___ | Hoa Kỳ | 49 | | 68.187.225.___ | Hoa Kỳ | 49 | | 184.75.77.___ | Hoa Kỳ | 5 | | 208.91.186.___ | Hoa Kỳ | 5 | | 71.11.113.___ | Hoa Kỳ | 5 | | 75.151.112.___ | Hoa Kỳ | 5 | | 98.189.112.___ | Hoa Kỳ | 5 | | 69.170.187.___ | Hoa Kỳ | 51 | | 97.64.182.___ | Hoa Kỳ | 51 | | 24.239.92.___ | Hoa Kỳ | 52 | | 72.211.28.___ | Hoa Kỳ | 53 | | 66.179.44.___ | Hoa Kỳ | 54 | | 66.188.47.___ | Hoa Kỳ | 55 | | 64.60.22.___ | Hoa Kỳ | 56 | | 73.1.95.___ | Hoa Kỳ | 56 | | 75.140.143.___ | Hoa Kỳ | 58 | | 24.199.140.___ | Hoa Kỳ | 59 | | 216.240.53.___ | Hoa Kỳ | 6 | | 216.26.16.___ | Hoa Kỳ | 6 | | 50.242.1.___ | Hoa Kỳ | 6 | | 65.83.137.___ | Hoa Kỳ | 6 | | 68.119.102.___ | Hoa Kỳ | 6 | | 68.170.224.___ | Hoa Kỳ | 6 | | 74.94.231.___ | Hoa Kỳ | 6 | | 96.64.21.___ | Hoa Kỳ | 6 | | 71.187.41.___ | Hoa Kỳ | 60 | | 184.177.173.___ | Hoa Kỳ | 61 | | 75.71.114.___ | Hoa Kỳ | 61 | | 75.82.232.___ | Hoa Kỳ | 61 | | 97.77.161.___ | Hoa Kỳ | 63 | | 50.154.213.___ | Hoa Kỳ | 65 | | 96.85.169.___ | Hoa Kỳ | 67 | | 100.33.70.___ | Hoa Kỳ | 68 | | 98.100.71.___ | Hoa Kỳ | 68 | | 24.176.214.___ | Hoa Kỳ | 69 | | 74.113.89.___ | Hoa Kỳ | 69 | | 204.116.101.___ | Hoa Kỳ | 7 | | 216.216.68.___ | Hoa Kỳ | 7 | | 65.188.191.___ | Hoa Kỳ | 7 | | 69.15.165.___ | Hoa Kỳ | 7 | | 74.219.118.___ | Hoa Kỳ | 7 | | 173.10.219.___ | Hoa Kỳ | 71 | | 97.77.209.___ | Hoa Kỳ | 72 | | 173.163.236.___ | Hoa Kỳ | 73 | | 162.210.13.___ | Hoa Kỳ | 79 | | 12.236.19.___ | Hoa Kỳ | 8 | | 208.180.242.___ | Hoa Kỳ | 8 | | 24.221.97.___ | Hoa Kỳ | 8 | | 40.132.97.___ | Hoa Kỳ | 8 | | 50.79.227.___ | Hoa Kỳ | 8 | | 64.130.109.___ | Hoa Kỳ | 8 | | 66.80.57.___ | Hoa Kỳ | 8 | | 74.68.130.___ | Hoa Kỳ | 8 | | 74.70.242.___ | Hoa Kỳ | 8 | | 96.80.61.___ | Hoa Kỳ | 81 | | 74.43.153.___ | Hoa Kỳ | 83 | | 208.123.153.___ | Hoa Kỳ | 85 | | 75.149.238.___ | Hoa Kỳ | 87 | | 96.85.138.___ | Hoa Kỳ | 89 | | 208.117.200.___ | Hoa Kỳ | 9 | | 208.68.71.___ | Hoa Kỳ | 9 | | 50.253.180.___ | Hoa Kỳ | 9 | | 50.84.132.___ | Hoa Kỳ | 9 | | 63.139.29.___ | Hoa Kỳ | 9 | | 70.43.78.___ | Hoa Kỳ | 9 | | 74.94.154.___ | Hoa Kỳ | 9 | | 50.76.82.___ | Hoa Kỳ | 94 | +-----------------+------------+-------------+Trong bảng tiếp theo, chúng ta có thể thấy sự phân bổ địa chỉ IP theo quốc gia:
Mã:
+--------+ | 214 US | | 28 GB | | 17 IT | | 15 ES | | 15 CA | | 8 DE | | 4 IE | | 3 KW | | 3 IN | | 3 CZ | | 2 NL | | 1 UA | | 1 TH | | 1 SK | | 1 SG | | 1 SA | | 1 PT | | 1 PR | | 1 PL | | 1 PH | | 1 PA | | 1 NO | | 1 MX | | 1 MA | | 1 LC | | 1 KR | | 1 JO | | 1 IL | | 1 HU | | 1 GH | | 1 FR | | 1 EC | | 1 DK | | 1 CR | | 1 CO | | 1 CN | | 1 CH | | 1 BE | | 1 AU | | 1 AR | | 1 AO | +--------+Dựa trên các bảng này có thể rút ra nhiều sự kiện mà chúng tôi thiết kế plugin của mình:
- Thư rác được phát tán từ abotnet. Điều này được chỉ ra bởi các lần đăng nhập từ một lượng lớn địa chỉ IP của khách hàng.
- Thư rác được phát tán với nhịp độ tin nhắn thấp để tránh giới hạn tốc độ.
- Thư rác được phát tán từ các địa chỉ IP của nhiều quốc gia (hơn 30 quốc gia sau vài phút) cho thấy một mạng bot quốc tế.
- Tổng số lần đăng nhập 7531.
- Tổng số địa chỉ IP được sử dụng 342.
- Tổng số quốc gia duy nhất 41.
Bảo vệ chống lại những kẻ gửi thư rác botnet
Giải pháp cho loại hành vi thư rác này là tạo một plugin cho tường lửa postfix - postfwd.Postfwd là chương trình có thể được sử dụng để chặn người dùng theo giới hạn tốc độ, bằng cách sử dụng thư danh sách đen và các phương tiện khác.Chúng tôi đã thiết kế và triển khai plugin đếm số lượng quốc gia duy nhất mà người dùng đã đăng nhập vào tài khoản của mình bằng xác thực sasl. Sau đó, trong cấu hình postfwd, bạn có thể đặt giới hạn cho số lượng quốc gia và sau khi vượt quá giới hạn, người dùng sẽ được chọn mã smtp trả lời và bị chặn gửi email.
Tôi đã sử dụng plugin này trong một công ty cung cấp dịch vụ internet cỡ trung trong 6 tháng và hiện tại plugin tự động phát hiện hơn 50 người dùng bị xâm phạm mà không cần bất kỳ sự can thiệp nào từ phía quản trị viên. Một sự thật thú vị khác sau 6 tháng sử dụng là sau khi tìm thấy kẻ gửi thư rác và gửi mã SMTP 544 (Không tìm thấy máy chủ - không có trong DNS) đến tài khoản bị xâm phạm (được gửi trực tiếp từ postfwd), botnet đã ngừng cố gắng đăng nhập vào các tài khoản bị xâm phạm. Có vẻ như ứng dụng spam botnet rất thông minh và không muốn lãng phí tài nguyên botnet. Gửi các mã SMTP khác không ngăn được botnet thử.
Plugin có sẵn trên github của công ty tôi - https://github.com/Vnet-as/postfwd-anti-geoip-spam-plugin
Cài đặt
Trong phần này, tôi sẽ hướng dẫn bạn cách làm cho postfix hoạt động với postfwd và cách cài đặt plugin cũng như thêm quy tắc postfwd để sử dụng plugin. Quá trình cài đặt đã được thử nghiệm và thực hiện trên Debian 8 Jessie. Hướng dẫn cho các phần của quá trình cài đặt này cũng có sẵn trên trang dự án github.1. Đầu tiên, hãy cài đặt và định cấu hình postfix với xác thực sasl. Có rất nhiều hướng dẫn tuyệt vời về cài đặt và cấu hình postfix, do đó tôi sẽ tiếp tục ngay với cài đặt postfwd.
2. Việc tiếp theo sau khi bạn đã cài đặt postfix với xác thực sasl là cài đặtpostfwd. Trên hệ thống Debian, bạn có thể thực hiện bằng trình quản lý gói apt bằng cách thực thi lệnh sau (Lệnh này cũng sẽ tự động tạo người dùng postfw và tệp /etc/default/postfwd mà chúng ta cần cập nhật với cấu hình chính xác để tự động khởi động).
Mã:
apt-get install postfwd3. Bây giờ chúng ta tiến hành tải xuống dự án git bằng plugin postfwd của mình:
Mã:
apt-get install git
git clone https://github.com/Vnet-as/postfwd-anti-geoip-spam-plugin /etc/postfix/postfwd-anti-geoip-spam-plugin
chown -R postfw:postfix /etc/postfix/postfwd-anti-geoip-spam-plugin/4. Nếu bạn không có git hoặc không muốn sử dụng git, bạn có thể tải xuống tệp plugin thô:
Mã:
mkdir /etc/postfix/postfwd-anti-geoip-spam-plugin
wget https://raw.githubusercontent.com/Vnet-as/postfwd-anti-geoip-spam-plugin/master/postfwd-anti-spam.plugin -O /etc/postfix/postfwd-anti-geoip-spam-plugin/postfwd-anti-spam.plugin
chown -R postfw:postfix /etc/postfix/postfwd-anti-geoip-spam-plugin/5. Sau đó cập nhật cấu hình mặc định của postfwd trong tệp /etc/default/postfwd và thêm tham số plugin '--plugins /etc/postfix/postfwd-anti-geoip-spam-plugin/postfwd-anti-spam.plugin' vào đó:
Mã:
sed -i 's/STARTUP=0/STARTUP=1/' /etc/default/postfwd # Tự động khởi động
sed -i 's/ARGS="--summary=600 --cache=600 --cache-rdomain-only --cache-no-size"/#ARGS="--summary=600 --cache=600 --cache-rdomain-only --cache-no-size"/' /etc/default/postfwd # Bình luận các tham số khởi động cũ
echo 'ARGS="--summary=600 --cache=600 --cache-rdomain-only --cache-no-size --plugins /etc/postfix/postfwd-anti-geoip-spam-plugin/postfwd-anti-spam.plugin"' >> /etc/default/postfwd # Thêm tham số khởi động mới6. Bây giờ hãy tạo một tệp cấu hình postfwd cơ bản với quy tắc botnet chống thư rác:
Mã:
cat /etc/postfix/postfwd.cf
# Quy tắc botnet chống thư rác
# Ví dụ này cho thấy cách giới hạn địa chỉ email được xác định bởi sasl_username để có thể đăng nhập từ tối đa 5 quốc gia khác nhau, nếu không, họ sẽ bị chặn không cho gửi tin nhắn.
id=COUNTRY_LOGIN_COUNT ; \
sasl_username=~^(.+)$ ; \
incr_client_country_login_count != 0 ; \
action=dunno
id=BAN_BOTNET ; \
sasl_username=~^(.+)$ ; \
client_uniq_country_login_count > 5 ; \
action=rate(sasl_username/1/3600/554 Tài khoản email của bạn đã bị xâm phạm. Vui lòng thay đổi mật khẩu ngay sau lần đăng nhập tiếp theo.)
_EOF_7. Cập nhật tệp cấu hình postfix /etc/postfix/main.cf để sử dụng dịch vụ chính sách trên cổng postfwd mặc định 10040 (hoặc cổng khác theo cấu hình trong /etc/default/postfwd). Cấu hình của bạn phải có tùy chọn sau trong dòng smtpd_recipient_restrictions. Lưu ý rằng hạn chế sau đây không hoạt động nếu không có các hạn chế khác như một trong số reject_unknown_recipient_domain hoặc reject_unauth_destination.
Mã:
echo 'smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:12525' >>/etc/postfix/main.cf8. Cài đặt các phụ thuộc của plugin:
Mã:
apt-get install -y libgeo-ip-perl libtime-piece-perl libdbd-mysql-perllibdbd-pg-perl9. Cài đặt cơ sở dữ liệu MySQL hoặc PostgreSQL và cấu hình một người dùng sẽ được sử dụng trong plugin.
10. Cập nhật phần kết nối cơ sở dữ liệu trong plugin để tham chiếu đến cấu hình backend cơ sở dữ liệu của bạn. Ví dụ này hiển thị cấu hình MySQL cho người dùng testuser và database test.
Mã:
# my $driver = "Pg";my $driver = "mysql";my $database = "test";my $host = "127.0.0.1";my $port = "3306";# my $port = "5432";my $dsn = "DBI:$driver:database=$database;host=$host;port=$port";my $userid = "testuser";my $password = "password";11. Bây giờ hãy khởi động lại dịch vụ postfix và postfwd.
Mã:
service postfix restart && service postfwd restart