m9ls
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую, буду рад помощи по следующей проблеме:
Zimbra 8.6 OSE
С недавнего времени жестко брутят сервер по 25 (до 10к соединений в сутки), хочу решить проблему запретив авторизацию через 25 порт, для авторизации останется 587 . Все клиенты, которым необходима авторизация, находятся или в локалке или за впном, выставлять в интернет 587 в принципе нет необходимости (в крайнем случае переброшу для определенного ip). Pop3(s), imap(s), http(s) и пр. так же закрыты для интернет, наружу смотрит только 25.
Метод AUTH LOGIN PLAIN уже отключен, остался STARTTLS, его можно отключить в зимбре с помощью
Код:| mprov ms `zmhostname` zimbraMtaTlsSecurityLevel none |
Но в этом случае STARTTLS отключается как для 25 так и для 587.
Добиться желаемого в постфиксе можно подредактировав master.cf, а именно оставив smtpd_tls_security_level=may для submission, но изменить на smtpd_tls_security_level=none для smtp. Но прямое редактирование конфигов постфикса в зимбре обычно ни к чему хорошему не приводит, насколько я понял необходимо редактировать zmconfigd.cf.
Кто нибудь может поделиться опытом, каким образом можно подредактировать master.cf, желательно так, чтобы при обновлении zimbra эти изменения остались (и уж тем более оставались после перезагрузки)? Если у кого есть другие мысли по поводу проблемы, буду рад услышать.
P.S.
Fail2ban + фаерволл для решения проблемы не вариант по нескольким причинам:1) мне в принципе не нужна авторизация через 25, так же как и не нужны лишние сервисы (дмз циска обеспечивает). 2) при использовании гугла или яндекса как почтовый клиент (добавление левого аккаунта), при вводе неправильного пароля fail2ban начнет блочить 25 порт для гугла и яндекса, последствия, думаю, понятны всем 3) Возможно мне не хватило опыта (больше работаю со всякими цисками), но я не смог настроить firewalld так, чтобы он дропал активные соединения (брал правила как из fail2ban, так и пробовал сам), т.е. подключаюсь к 25 с X.X.X.X, в firewalld использую правило, как это сделал бы fail2ban, для блокировки X.X.X.X, при этом подключение к 25 порту остается, перебирай пароли сколько хочешь, до тех пор пока не отключишься сам или не закроется по таймауту. Возможно использование iptables решило бы проблему, но насколько я помню он сбрасывает все! активные соединения при изменении правил, с учетом брута это происходило бы раз в минуту. |
) используется для проброса портов) доступ к панели регистратора домена пока не доступен 
