ここ数日,sendmailのユーザー認証をこじ開けようと辞書攻撃を受け続けています.無駄な攻撃ですが万一まぐれで当たったらと思うと気持ち悪いので,新しい攻撃から33個のIPアドレスを “DROP” するように,設定しました.合計で254個になりました.
今回の攻撃は1〜数分間隔で “www”, “postmaster” などありがちなユーザー名で認証を試みてきます.そして,試行するごとにIPアドレスが変わってきます.ボットなのかIP偽装なのかわかりません(sendmailのログには “may be forged” ってでてますが).
ボットにしても偽装にしても1つの邪悪なIPアドレスがある場合,8bitのサブネットごと “DROP” するように設定していますから,善良な方(やMTA)からの接続も受け付けなくなる危険性があります.
もし,昨日までつながっていたのにつながらなくなったらお知らせ下さい(あ,無理か😓).
追記(2023/05/12)
その後も次から次へと新しいIPアドレスで攻撃してくるので,攻撃元IPアドレスを “DROP” するのをやめました.