Re: [問題] 限制只有部分USER能從外部連線?
※ 引述《chang0206 (Eric Chang)》之銘言:
: 因為在大陸有幾台MAIL SERVER,每天都有成千上萬筆的 POP3 auth failed紀錄
: 本來是為了員工出差還能收發信件的關係,所以才開放外部連線
: (不考慮WEBMAIL,因為那邊的大頭不會用)
: 但是也的確發生過幾次被猜到密碼,然後就被拿來當跳板的情況
: 今天又發生IP被列入CBL的窘境,結果要發給客戶、廠商的信件一堆被退信
: 不曉得有沒有辦法在postfix或者iptables上設定一些什麼條件
: 只開放部分員工的帳號可以從INTERNET連進來收發信?
: USER可能到各地出差,所以沒有固定的IP範圍,
: 不過會用到這種服務的可能只有不到十個人。
在你現有機制下
我個人是建議
1.增加一支程式,每隔幾分鐘掃瞄一次pop3.log(需另設定newsyslog)
同一外部ip密碼錯10次,或者嘗試兩個帳號,或者帳號不存在,
用firewall擋掉。
對外說明:密碼錯10次會被擋一天
2.寫個程式,比對帳號與密碼相同者,寄信請他們改密碼
3.要有改密碼的介面,卡密碼長度和複雜度(如2個以上不同英文字母,2個以上不同數字)
4.寫個程式,同一帳號一天從外部ip寄出超過20封信,立刻帳號停用待專案處理
以上是我現在在用的機制,都是外掛的,不影響現有服務。
建議,至少 1, 4 一定要馬上做。整天被放入黑名單很麻煩
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.220.40.61
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 3 之 3 篇):