Как лучше всего защитить 25 порт на веб сервере?
поставил такую штукенцию вдобавок к virtualmin
Блокирует 60-90 попыток взлома SSH в день. Но вот что делать с почтовыми портами пока не нашел. Нашел только одну настройку - количество подключений в час, но закончилось тем что заблокировал себя 
А то подключаются еще и по порту IMAP и подбирают пароли, ЦПУ почти 100%
Это шутка что ли?
-----
??? - все лезут в 25 порт.
Ну оставь там пустой инстансе - пусть его ломают по 25 раз в день... Даже пароли можешь поставить "123456" & "пассворрд" чтобы преуспели и успокоились. Вся отправка - в нул.
На свободном порте - другой инстансе почты и там уже думать... но там желающих будет 0.1% от тех кто долбит 25 порт...
Нашел только одну настройку - количество подключений в час, но закончилось тем что заблокировал себя
Это плохо. Теоретически можно так заблокировать и всех, кто тебе почту доставляет. Лучше на 25-ом отключить message submission и перевести на 587. На 587 вести мониторинг неудавшихся попыток аутентификации.
csf с версии 6.48 имеет поддержку Postfix SMTP_AUTH вот только с примечанием "for Plesk servers". Что там Plesk по другому в postfix сделал - не знаю, и будет ли работать на virtualmin - тоже не знаю. Но в csf есть custom regex rules, которые можно подогнать под свои нужды. https://forum.configserver.com/viewtopic.php?p=29227#p2922...
А то подключаются еще и по порту IMAP и подбирают пароли, ЦПУ почти 100%
На главной странице стоит, что csf умеет с dovecot работать.
Теоретически можно так заблокировать и всех, кто тебе почту доставляет
Практически тоже 
Лучше на 25-ом отключить message submission и перевести на 587
А как поставщикам почты это рассказать? Или они несколько портов пользуют?
что csf умеет с dovecot работать
умеет, но подходящих настроек не нашел 
А как поставщикам почты это рассказать? Или они несколько портов пользуют?
Им ничего не надо знать. 25-й порт остается активным только для MTA без аутентификации (доставка почты для "своего" домена).
Для MSA (почтовые программы) выделяется новый порт (587). На нем и ведется мониторинг.
Если сложно, то можно все на 25-м оставить. Главное - блокировать не по количеству соединений в промежуток времени, а по неудавшимся SMTP-Auth.
Спасибки буду пробовать на выходных
Для MSA (почтовые программы) выделяется новый порт (587)
То бишь вначале нужно TLS сделать? SSL вроде получился, а с TLS пока боюсь, чтобы опять без почты не остаться.
Главное - блокировать не по количеству соединений в промежуток времени
А я как раз думал это попробовать только с большим числом чтобы себя не блокировать.
а по неудавшимся SMTP-Auth.
Чисто визуально не заметил подобной настройки. Хотя даже и не всю почту "по ошибкам" удалось перенаправить, часть отправляет rootу гад.
То бишь вначале нужно TLS сделать? SSL вроде получился, а с TLS пока боюсь, чтобы опять без почты не остаться.
SSL (v1.0, v2.0, v3.0) - устаревший протокол. Не использовать.
TLS (>= v1.2) можешь. Если хочешь, конечно. Номер порта тебя не обязывает использовать шифрованное соединение.
Чисто визуально не заметил подобной настройки.
Конфиги смотрел? Если ее нет, то custom regex rule.
SSL (v1.0, v2.0, v3.0) - устаревший протокол. Не использовать.
может я чего перепутал Я вначале сделал https, чтобы сертификат был.
Конфиги смотрел?
Не а, там всё так размазано, что неизвестно где лежит всё что они показывают на странице настроек.
Я как то раз админ-порт отключил через сопутствующую установку, так так и не нашел этого в конфигах.
может я чего перепутал
Не знаю, может быть. Я имею в виду сам протокол https://ru.wikipedia.org/wiki/TLS
Я вначале сделал https, чтобы сертификат был.
Тут нарушена причинно-следственная связь. HTTPS - это HTTP over TLS/SSL https://ru.wikipedia.org/wiki/HTTPS. Для того, чтобы HTTPS работал, необходим сертификат.
Если для личного - я бы просто повесил на другой порт.
Какая разница какой порт? Все что выставляется в открытый космос доступ будет сканироваться и найдено, причем очень быстро. Не надо даже думать, что я типа только на пару минут черный вход не закрою, никто ведь не вломится за такое время.
Свой почтовый сервер это для камикадзе. Во-первых, замучиешся (правильно) конфигурировать. Во-вторых, и главное, надо заставить другие сервера в мире ему доверять. Иначе он будет в изгое и вся почта пойдет в спам или вообще будут блокировать.
Есть уже готовые контейнеры, возможно это легче, т.к. не надо с нуля начинать и легче с другими сервисами интегрировать (например, webmail если надо). Вот навскидку: https://github.com/tomav/docker-mailserver или https://github.com/Mailu/Mailu
Тут нарушена причинно-следственная связь. HTTPS - это HTTP over TLS/SSL ... Для того, чтобы HTTPS работал, необходим сертификат.
У меня цепочка был немного другой
Мне нужен TLS
Для этого нужен сертификат.
У меня есть функции копирования сертификата для поп3 и смтп.
Чтобы сертификат оказался в нужном месте нужно его запросить (при этом в случае успеха автоматом получаем https)
Если https заработал, то можно двигаться дальше.
То бишь рабочий https является "необходимым условием" для создания TLS
Чтобы сертификат оказался в нужном месте нужно его запросить
А можно сделать и самому (self-signed)
(при этом в случае успеха автоматом получаем https)
Это ложное представление создается автоматизмом в virtualmin. Сертификат дает возможность аутентифицировать сервер и использовать TLS без PSK. Что ты будешь шифровать TLS'ом - дело третье. Это может быть http, ftp, smtp, imap, pop3 и т, д.
Получение/создание сертификата само по себе ничего не делает. Надо сконфигурировать, например, тот же web-сервер, чтобы он разрешал шифрованное соединение. При этом ему надо, естественно, дать приватный ключ и сертификат. Только после этого https будет работать. Все эти действия делает virtualmin за тебя.
То бишь рабочий https является "необходимым условием" для создания TLS
Наоборот, если можно так выразиться: "Рабочий" TLS является "необходимым условием" для создания https.
А можно сделать и самому (self-signed)
Так такой уже и стоял, только толку никакого не было от него
Это ложное представление создается автоматизмом в virtualmin.
вполне возможно, только привык я нажимать на кнопочки
"Рабочий" TLS является "необходимым условием" для создания https.
Наверное мы опять о разном. Я имел в виду TLS для почты. Хотя может это и опять неправильно с "официальной" точки зрения.
Я то смотрю на эти все "прибамбасы" с точки зрения пользователя.
Но спасибки, пошел читать как "на 25-ом отключить message submission"
Новую фигню в почте нашел: куда это народ ломится и откуда?
Account: clamav
Resource: Process Time
Exceeded: 577121 > 1800 (seconds)
Executable: /usr/bin/freshclam
Command Line: /usr/bin/freshclam -d --foreground=true
PID: 469 (Parent PID:469)
Killed: No
---
Account: postgrey
Resource: Process Time
Exceeded: 577115 > 1800 (seconds)
Executable: /usr/bin/perl
Command Line: postgrey --pidfile=/var/run/postgrey.pid --daemonize --inet=10023
PID: 887 (Parent PID:887)
Killed: No
---
Account: rdnssd
Resource: Process Time
Exceeded: 577123 > 1800 (seconds)
Executable: /sbin/rdnssd
Command Line: /sbin/rdnssd -u rdnssd -H /etc/rdnssd/merge-hook
PID: 286 (Parent PID:285)
Killed: No
народ
Этот "народ" помогает тебе бороться с нехорошими письмами.
https://de.wikipedia.org/wiki/ClamAV
https://postgrey.schweikert.ch/
https://linux.die.net/man/8/rdnssd
Первый проверяет почту на вирусы, второй блокирует спамера по "серому списку", третий проверяет IP MTA по reverse DNS.
Есть оказывает у меня эти строки, только редактор mc странно пробелы показывает, в одном месте <-->, а в другом нормально
smtp<-->inet<-->n<---->-<---->-<---->-<---->-<---->smtpd -o smtpd sasl auth enable=yes
submissior<---->inet<---->n<---->-<---->-<---->-<---->-<---->smtpd -o smtpd sasl auth enable=yes
Получается что не помогает, потому как подобных сообщений дофига и больше
Account: postfix Resource: Process Time Exceeded: 1839 > 1800 (seconds) Executable: /usr/lib/postfix/smtpd Command Line: smtpd -n submission -t inet -u -c -o stress= -s 2 -o smtpd_sasl_auth_enable=yes PID: 15353 (Parent PID:1438) Killed: No
А то root получает по 3000 писем в неделю подобного рода
Ты бы subj письма сперва прочел. Там же черным по белому стоит от кого и почему: lfd on [hostname]: Excessive resource usage: [user] ([pid])
8. Process Tracking https://download.configserver.com/csf/readme.txt
Ну в доках так и написано
Its purpose is to identify potential exploit processes that are running on the server, even if they are obfuscated to appear as system services. If a suspicious process is found an alert email is sent with relevant information.
а как хакеры еще smtp запускают? Где-то видел график загрузки ЦПУ в день, так почти всё время больше 50%
И с "рутом" не только у меня проблемы
https://forums.cpanel.net/threads/lfd-csf-emails-sent-to-r...
Ну в доках так и написано
Там написано что-то про smtp?
а как хакеры еще smtp запускают?
Так же как и все остальные: sudo /etc/init.d/postfix start
Где-то видел график загрузки ЦПУ в день, так почти всё время больше 50%
Ну, так найди процесс, который грузит CPU. В твоих письмах про CPU ничего не сказано. Стоит лишь "Resource: Process Time". То бишь ему (csf) не понравилось, что процесс слишком долго выполняется. Кстати, для служб (daemons) это нормально.
И с "рутом" не только у меня проблемы
Что-то я не понял. Тебе надо, чтобы письма не root'у, а кому-то другому отсылались? Или тебя беспокоит количество писем?
Так же как и все остальные: sudo /etc/init.d/postfix start
А для этого разве не нужно вначале залогинится на сервер?
Ну, так найди процесс, который грузит CPU
ну так он же не днями висит. Я так думаю, запустили брут форсе на пару часов и перешли на другой сервер, а так как желающих дофига, так каждый и выжирает сои проценты ЦПУ.
То бишь ему (csf) не понравилось, что процесс слишком долго выполняется.
ну не зря же ведь не понравилось, зачем нормальной почте столько времени надо?
Что я еще не понял. Если у меня было отключено "Submission", то как же я передавал свои письма по 25
А для этого разве нужно вначале залогинится на сервер?
Не понимаю вопроса. Запускает smtp-сервер тот, у которого есть root-доступ к серверу (То есть по идеи только ты).
ну так он же не днями висит.
Если у тебя загрузка CPU 50% в течении дня, значит, он (они) висит днями. https://wiki.ubuntuusers.de/top/
Я так думаю, запустили брут форсе на пару часов и перешли на другой сервер, а так как желающих дофига, так каждый и выжирает сои проценты ЦПУ.
Чтобы загрузить CPU на 50% нужно оооооочень много попыток логина в единицу времени. Сомнительно, что это из-за этого. Но, по-любому, настраивай блокировку.
ну не зря же ведь не понравилось, зачем нормальной почте столько времени надо?
Нормальная почта (postfix, dovecot и их "плагины") работают непрерывно. Так же как и любой сервер или служба. Посмотри у себя в Windows сколько времени выполняется процесс System.
Что я еще не понял. Если у меня было отключено "Submission", то как же я передавал свои письма по 25
А оно было отключено?
то бишь, хочешь сказать игнорировать енто всё.
Я так подумал что это был бы полный идиотизм учитывать процессы которые должны работать постоянно.
Зато нашел важное замечание "we suggest you work with a qualified system administrator" - нифиг лазить там где мало понимаешь
Не понимаю вопроса. Запускает smtp-сервер тот, у которого есть root-доступ к серверу (То есть по идеи только ты).
Сорри, ошибся исправил.
Вопрос был - как кто-то, кто не зашел в сервер может запускать sudo xxx? Сообщения о логине я тоже получаю, все пока мои.
Подбор пароля маловероятен, там не менее 20 случайных символов.
И как это в ДЕТАЛЯХ работает?
-----
Могу покопаться в деталях - когда-то делал ПОП3 с их аутентификацией,
но смысла нет - ты говоришь что тебе нужен приватный сервер, но тут же требуешь его публичности.
Они там гады столько понакрутили
-----
Это - да... но на самом деле не так уж и сложно...
то бишь, хочешь сказать игнорировать енто всё.
Либо игнорировать, либо добавить в исключения, чтобы снизить mail flood.
Я так подумал что это был бы полный идиотизм учитывать процессы которые должны работать постоянно.
Да. Но csf не может знать, какие процессы, запущенные тобой, должны работать постоянно, а какие нет. Для этого разработчики и предусмотрели список исключений.
Вопрос был - как кто-то, кто не зашел в сервер может запускать sudo xxx?
Никак. Кроме того, одного логина недостаточно, чтобы использовать sudo. Для этого пользователя/группы должны быть явно прописаны разрешения в /etc/sudoers. https://de.m.wikipedia.org/wiki/Sudo
но смысла нет - ты говоришь что тебе нужен приватный сервер, но тут же требуешь его публичности.
"частный" видимо, если на русском.
Или ты предлагаешь, сделать сайт на телике и приглашать знакомых посюрфится. А мейлы с домена получать на почте?
Могу покопаться в деталях
Всё что меня интересует, как я буду получать почту если закрою 25 порт?
но на самом деле не так уж и сложно
Вполне возможно, если постоянно с этим работать.
Наборот - рабочий ТЛС является условием функционировния ХТТПС...
Ну да, процитируй мне еще постановления 25 съезда КПСС 
Это по теории усё. А на практике наоборот 
.
Нажимаю кнопу, получаю сертификат и https. Могу всё протестировать. Если проблемы с сертификатом, https не работает.
Нажимаю вторую кнопу, получаю ТЛС на ПОП3
Нажимаю третью, ТЛС на СМТП.
Наоборот низзя.
Либо игнорировать, либо добавить в исключения, чтобы снизить mail flood.
Ты как обычно прав
Получаю сейчас всё на почту, разделил автоматом на 4 папочки
- lfd on ххх: blocked 197.255.160.225 (NG/Nigeria/-)
- lfd on ххх: Excessive resource usage: clamav (469 (Parent PID:469))
- lfd on ххх: SSH login alert for user --- from абс (DE/Germany/***.de)
- lfd on ххх: Suspicious process running under user postfix
Стастистика за сегодня
- 12 обычно 60-80. Чё в понедельник хакеры отдыхают? Вчера было за сотню
- 489
- 0
- 5
То бишь явно на 2 слишком много ложных срабатываний.
Да. Но csf не может знать, какие процессы, запущенные тобой, должны работать постоянно, а какие нет
Рассчитывал, что стандартные процессы должны были учитывать.
вместо какого нибудь G Suite ?
Зачем платить 6 баксов за то что мне не нужно? За почту это сильно много
-----
Для того чтобы соединение образовалось должен прийти ответ на запрос соединения.
Ну а ответ возможен только в том случае если кто-то слушает (фильтрует и обрабатывает информацию на) порт.
Отдельно есть РПЦ, но это Винды. Что в Никсах - не знаю.
https://de.wikipedia.org/wiki/Inetd
Аналог RPC это все таки немного другое https://de.wikipedia.org/wiki/Common_Object_Request_Broker....
Кроме как в гноме, насколько помню, это не использовалось.
ты скорее всего на мейнтененс потратишь больше своего времени, а оно дороже 6 баксов.
всякие там конфиги, антиспемы, бекапы, архивы, spf, dmarc, dkmi, вебгуй, сертификаты и так далее и это только минимум. G Suite это ж не только почта, там и календарь и всякой разной лабуды.
Аналогов много. CORBA - только один из них.
https://en.wikipedia.org/wiki/Remote_procedure_call#Analog...
Если бы RPC-сервер не прослушивал xx-й порт, то ничего бы и не запускалось. А запуск чего-либо - это вопрос реализации сервера. Не только RPC может запускать что-либо. Или ты думаешь, что 135-й - волшебный порт?
Или ты думаешь, что 135-й - волшебный порт?
-----
Не волшебный, но предопределенный.
Что можно написать что-то другое - понятно, а вот будет ли функционировать в полном объеме винда без РПЦ - не знаю. Закрыть - можно, но внутренние вызовы не блокируются... а без них - не знаю что будет... точнее - не знаю что и когда не пойдет...
Зачем платить 6 баксов за то что мне не нужно? За почту это сильно много
Ну можно и бесплатно: https://business.yandex.ru/mail
ну тот же гугл
Бесконечный цикл, однако: Юзай Гугл -> Дорого -> Тогда Яндекс -> Зачем, если есть Гугл -> Ну тогда юзай Гугл -> Дорого ...
UPD
"Почта для домена" от Яндекса (раньше было pdd.yandex.com) это то, что дает G Suite (для почты), но только бесплатно. Пристегнуть свой домен, а потом заводи сколько хочешь емейлов. Обычно фирмы используют ну или если хочешь в своем любимом домене почту завести. Я уже забыл сколько лет пользуюсь для себя лично (лет 10 наверное). Поддержки не требует. Танцов с бубмном вокруг конфигов нет. Денег не просит. У Гугла давно тоже было бесплатно, но потом они отменили (но говорят у кого было бесплатно, у тех осталось).
Вы не заметили что есть гугл бесплатный и гугл платный?
То, что у Гугла платно, то у Яндекса бесплатно (в плане почты). См. выше.
Вот еще: https://connect.yandex.ru/pdd_old/
Не знаю, где более актуальное описание. Я им очень давно не пользовался.
Вспомнил, что еще mail.ru тоже дает бесплатную почту для домена. Но я без понятия как она работает и что лучше.
Но я без понятия как она работает
Вот нашел хоть какие то подробности
https://moytop.com/optimizaciya-raboty/rabochee-mesto/kak-...
похоже mail.yandex.net будет в заголовках
Очень удивлён, что можно DMARC,SPF и DKIM можно добавить.
Хотя держать почтовый сервер в России как то напряжёно, и непонятно что берут за бесплатные пирожные
только непонятно как они стибрят MX Record?
Никак. Это надо у своего регистратора домена вручную поменять.
похоже mail.yandex.net будет в заголовках
Само собой. Вся цепочка. Иначе низя. Такой протокол реликтовый.