邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: IMAIL是否会被FLOOD攻击？ [打印本页]

作者: AndyDavis 时间: 2007-8-16 00:46
标题: IMAIL是否会被FLOOD攻击？
从8-12开始，我的IMAIL日志记录就不正常了，通常我的一天的SYS日志文件只有600KB左右，SPAM日志文件只有300KB左右，从8-12起，每天的这个SYS日志文件到了7~11MB，SPAM日志文件到了2-3MB。  SYS日志的行数也从通常的1万行猛增到10几万行。

打开日志查看，主要是从不同的IP对我IMAIL上的一个域大量发送垃圾邮件。  这些邮件有以下特点：

1、发件的IP地址不固定，世界各地都有如美国，意大利，菲律宾，巴西。。。。
2、大部分是 MAIL FROM: <> ;
3、RCPT TO: 后面的邮件地址，全部是我同一个域，用户名却每一封邮件都不一样，一般是一些英文人名，或是与字母数字的组合。
4、邮件大小为10KB左右。
5、发送频率非常密集，从早到晚几乎不停，有时，同一时刻，不同的IP同时在发信过来。

为了防止一些对垃圾邮件的反弹，我的IMAIL设置了nobody别名，并转到一个专用的邮箱，使用邮箱过滤器删除。因此上面这些对我域的不存在用户发送的垃圾邮件均不会发生反弹，全部予以接受，并会对它们进行antispam的检查。

虽然，这些邮件最终没到我们用户的邮箱里，但给我的IMAIL带来非常大的压力，尤其在antispam检查的工作上（我使用了rendns, spf, blacklist, mail from检查，这些都比较耗资源）。现在我对于这种情况无所适从。

另外，我还不时看到这样的日志：
08:16 00:36 SMTPD(2b6f078b0000006d) [216.92.131.4] EHLO lists.php.net
08:16 00:36 SMTPD(2b6f078b0000006d) [216.92.131.4] MAIL FROM:<[email=confirm-sender-bounce-0a778cb2a0079326a800f0aee1165959-KrstinaGeorgieva=mydomain.cn@lists.php.net]confirm-sender-bounce-0a778cb2a0079326a800f0aee1165959-KrstinaGeorgieva=mydomain.cn@lists.php.net[/email]>
08:16 00:36 SMTPD(2b6f078b0000006d) [216.92.131.4] RCPT TO:<KrstinaGeorgieva@mydomain.cn>
08:16 00:36 SMTPD(2b6f078b0000006d) [216.92.131.4] D:\IMail\spool\D2b6f078b0000006d.SMD 3818

08:16 00:38 SMTPD(2bad01bf00000071) [12.164.100.56] MAIL From:<Symantec_Mail_Security_for_SMTP@goutsi.com>
08:16 00:38 SMTPD(2bad01bf00000071) [12.164.100.56] RCPT To:<napoleonDewar@mydomain.cn>
08:16 00:38 SMTPD(2bad01bf00000071) [12.164.100.56] D:\IMail\spool\D2bad01bf00000071.SMD 10225
08:16 00:38 SMTPD(2bad01bf00000071) performing antispam checks

其中，mydomain.cn是我的IMAIL的一个主域名。

请大家帮我支支招吧。

作者: lgj858 时间: 2007-8-16 20:25
你目前的版本是多少，有条件的话，建议你升级到ics2006.2

作者: AndyDavis 时间: 2007-8-16 20:54
目前的版本是IMAIL 8.22。
ICS 2006.2有没有破解完美的版本？

今天，把这几天的日志分析了一下，直接在SMTP服务的ACCESS CONTROL里禁止了几个在日志分析里发现的经常SPAM的IP地址。今天的情况有所好转，受攻击的数量少了很多。但在日志里还是发现不少发到我的主域上不存在的用户的记录。

作者: ineedrmb 时间: 2007-8-17 00:10
SPAM的服务器的IP似乎是对态的吧。。。。任何不存在的地址都可以被虚拟的。。

最新的2006似乎可以正常破解，请LZ测试~~

作者: AndyDavis 时间: 2007-8-20 12:29
从8－16起，我禁止了几个从日志中找到的spam server ip。这几天的效果非常明显。日志大小已经恢复到之前情况。虽然还有类似的SPAM行为，但已经少很多了。
其中发现被禁的这个IP，在这几天内，居然有4500多次连接被我拦截了。

08:18 00:01 SMTPD(c66b078b00001335) Denied access from 125.212.62.10

作者: ineedrmb 时间: 2007-8-20 17:15
关注中，过阵我也尝试封几个，呵呵~~~

作者: chenlei313 时间: 2007-8-24 10:00
请问我用的imail8.02怎么升级到2006，而不影响以前的账户和邮件

作者: ineedrmb 时间: 2007-8-24 10:08
升级方法请看置顶帖。

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.cn/bbs/)