메일서버 스푸핑 방지

어제 내 메일 로그에서 다음 메시지를 발견했는데, 클릭 수는 약 10,000회에 불과했습니다.

Jun 21 10:47:10 exi-svr-2 dovecot: pop3-login: Disconnected: user=<tori>, method=PLAIN, rip=67.228.94.206, lip=xxx.xxx.xxx.xxx
Jun 21 10:47:10 exi-svr-2 dovecot: pop3-login: Disconnected: user=<last>, method=PLAIN, rip=67.228.94.206, lip=xxx.xxx.xxx.xxx

이렇게 방화벽에 67.228.94.206을 추가했습니다.

iptables -I RH-Firewall-1-INPUT -s 67.228.94.206 -j DROP

서비스 IP 테이블 저장

공격은 즉시 중단됐지만, 그 과정에서 성공적으로 사용자 계정을 획득하고 스푸핑을 시작했습니다. 사용자 계정을 삭제했지만 다양한 메일 서버로부터 반송 이메일을 받기 때문에 여전히 스푸핑된 것 같습니다.

Jun 22 15:08:08 exi-svr-2 postfix/smtp[27219]: connect to vahoo.com[216.151.212.175]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27158]: connect to mail.gamdak.co.za[196.215.56.13]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27169]: A72A61068460: to=<[email protected]>, relay=none, delay=33839, delays=33839/0.13/0.51/0, dsn=4.4.1, status=deferred (connect to keywordranking.com[208.87.35.105]: Connection refused)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27169]: connect to keywordranking.com[208.87.35.105]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27179]: 40A9C1068515: to=<[email protected]>, relay=none, delay=32038, delays=32038/0.22/0.19/0, dsn=4.4.1, status=deferred (connect to graintech-makeway.com[50.116.103.74]: Connection refused)

이 문제를 어떻게 해결해야 하는지, 이런 일이 발생하지 않도록 하려면 어떤 예방 조치를 취해야 하는지 잘 모르겠습니다. 나는 이런 종류의 일이 불가피하며 로그에 이러한 메시지를 캡처하지 않으면 무시할 수 있다는 것을 다른 곳에서 읽었습니다. 나는 이 솔루션에 별로 만족하지 않습니다.

저는 Postfix, Dovecot, AMaViS, SpamAssassin 및 ClamAV와 함께 CentOS 5.6을 실행하고 있습니다.