ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 10713|回复: 3
打印 上一主题 下一主题

[求助] 如何屏蔽EHLO ylmf-pc的密码探测行为!

[复制链接]
跳转到指定楼层
顶楼
发表于 2015-12-28 15:13:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 wyl_xp 于 2015-12-30 15:33 编辑

     exchange CAS服务器日志有大量的SMTP 密码探测日志,例如: 
....
2015-12-28T06:33:51.876Z,CAS02\Default CAS02,08D305E0005313E2,25,192.168.0.210:25,222.186.27.159:3197,>,535 5.7.3 Authentication unsuccessful,
2015-12-28T06:33:51.876Z,CAS02\Default CAS02,08D305E0005313E2,26,192.168.0.210:25,222.186.27.159:3197,-,,Remote
2015-12-28T06:33:55.704Z,CAS02\Default CAS02,08D305E0005313EE,0,192.168.0.210:25,222.186.27.159:4563,+,,
2015-12-28T06:33:55.704Z,CAS02\Default CAS02,08D305E0005313EE,1,192.168.0.210:25,222.186.27.159:4563,*,None,Set Session Permissions
2015-12-28T06:33:55.704Z,CAS02\Default CAS02,08D305E0005313EE,2,192.168.0.210:25,222.186.27.159:4563,>,220 GSuD Corporation,
2015-12-28T06:33:55.720Z,CAS02\Default CAS02,08D305E0005313EE,3,192.168.0.210:25,222.186.27.159:4563,<,EHLO ylmf-pc,
....
  
   经常触发Tarpit ,我将时间设为1分钟, 也就是 引发......,*,Tarpit for '0.00:01:00', 内容日志。

   但也还是导致一些用户长时间锁定(AD设为错10次密码,锁定10分钟)。  根据一年来的观察,密码探测的几乎都是类似上面的 EHLO ylmf-pc 提示,应该是雨林木风系统的中毒克隆电脑,有没有办法检测到回答 ylmf-pc时,就将其屏蔽,免得其试探
用户密码,还导致用户锁定。  exchange不能实现的话,反垃圾网关能实现吗?

沙发
发表于 2015-12-29 22:44:39 | 只看该作者
反垃圾网关好像也没有针对PC Name的,不过建议你咨询一下相关厂商了。

点评

钉子扫地僧这么快回复,倍感亲切!  详情 回复 发表于 2015-12-30 15:36
藤椅
 楼主| 发表于 2015-12-30 15:36:55 | 只看该作者
钉子 发表于 2015-12-29 22:44
反垃圾网关好像也没有针对PC Name的,不过建议你咨询一下相关厂商了。

  钉子扫地僧这么快回复,倍感亲切!
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-18 20:14

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表