开启了 SMTP/POP3S 后时不时被攻击，大家是如何应对的呢？

This topic created in 474 days ago, the information mentioned may be changed or developed.

https://imgur.com/a/cYhXMsY
有这些被攻击的情况：
信息泄露：访问临时文件
Hyland Perceptive Content Server 拒绝服务漏洞
操作系统命令注入 - 位于 HTTP 请求参数中
Hikvision 产品 CVE-2021-36260 命令注入漏洞
WEB 漏洞扫描器 - Nmap Script
Web 服务器扫描攻击 - HTTP 400
Apache Log4j2 远程代码执行漏洞

没开 465/993 端口之前没这个问题

SMTP

POP3S

攻击

11 replies • 2025-02-25 11:02:10 +08:00

busier

Feb 23, 2025 via Android

你又没设 ip 白名单，扫描器探测这种事情就不用大惊小怪了

yinmin

Feb 23, 2025 via iPhone

smtps 和 pop3s 防黑客盲扫是有办法的：禁止无 sni 访问即可。我是前置用 nginx https stream ，指定 sni 域名转向 mail server 的 smtps 和 pop3s 端口，然后禁止无 sni 访问。

黑客盲扫一般是只知道 ip 不知道域名的，会直接给 nginx 挡住了。所有基于 tls 的协议都可以使用这种方式。

详细的配置方式可以问 gpt 。

john2023

Feb 23, 2025

@yinmin https://imgur.com/a/VrzubmF 看样子是知道域名的。没修改前，我直接 openssl s_client -connect IP:PORT 是被拦截的，操作见图片。提供 servername 后就可以通过。

john2023

Feb 23, 2025

@busier 这有大的风险吗 smtp 这类服务设置 ip 白名单后邮箱功能就受影响了吧？

yinmin

Feb 23, 2025

https://imgur.com/a/cYhXMsY 这个报警不是攻击 465 和 993 端口的吧？

大概率与开 465/993 端口无关，只是时间巧合而已。

如果黑客通过特定域名攻击，有可能是同行竞争对手的攻击，而不是黑客通过 ip 地址段的盲扫。

john2023

Feb 23, 2025

@yinmin 是邮箱服务端口。目的地址和目的端口指向我的邮箱服务。个人用的邮箱服务，不过服务器除了邮箱服务还有别的。

julyclyde

Feb 24, 2025

你这几个漏洞看起来好像都是 web 方面不是邮件发面的？

lisxour

Feb 24, 2025

用人家的邮箱服务

cnt2ex

Feb 24, 2025

试试 fail2ban ，然后找 AI 生成能匹配这些扫描请求的正则表达式，或者看看网上有没有现成的匹配规则

john2023

Feb 25, 2025

@julyclyde 那可能是 hacker 在撞库，在批量匹配漏洞。

@lisxour 是个思路，但还是想保留自己的邮箱服务，哈哈

@cnt2ex 谢谢提供思路，我开了 fail2ban ，不过只有 anti-cc 、scan 功能。防火墙有两道，这是第一道防火墙报的威胁，不过都被拦截了。

lisxour

Feb 25, 2025

@john2023 #10 从实际使用的效果来说，用国内邮箱服务才是最优解，防攻击、防伪造、防垃圾，最最最重要的是自己搭的服务发邮件很容易进垃圾箱，这是硬伤。