حملات dovecot/lmtp چیست و چگونه باید از آن ها جلوگیری کرد؟




dovecot/lmtp یکی از حملاتی است که برای کاربران بسیار زیادی اتفاق می افتد و در پی آن، مشکلات طبیعی برای سرور پیش می آید، از جمله افت سرعت، بالا رفتن زمان بارگذاری، فشار نسبی بر روی منابع سرور و … . این حملات، معمولا توسط فایروال CSF که اکثریت از آن استفاده می کنند شناسایی می شود ولی آی پی اتکر ( کسی که در حال حمله می باشد ) بلاک نمی شود. امروز در ویکی بیت (http://wikibit.ir/)، به شما آموزش مسدود سازی اتوماتیک آی پی اتکر هایی که از طریق dovecot/lmtp به سرور شما حمله می کنند را خواهیم داد.
برای حل مشکلات ناشی از حملات dovecot/lmtp چند راه پیش رو دارید. راه ابتدایی، این است که اگر از سرورتان برای تعداد محدودی سایت استفاده می کنید و سایت های زیادی روی سرور شما میزبانی نمی شوند، می توانید از سرویس هایی مانند کلود فلر برای سایت (ها) یتان استفاده کنید. سیستم کاری سایت هایی مانند کلود فلر، به این صورت است که کاربر، ابتدا وارد سایت کلودفلر می شود و پس از گذشت چند ثانیه، به سایت شما منتقل می شود. در صورتی که کلود فلر آی پی شخص را اتکر شناسایی کند نیز، امکان ریدایرکت شدن به سایت شما برای وی وجود نخواهد داشت و مستقیما در مرحله ابتدایی، جلوی حمله وی به صورت کامل گرفته می شود.
راه دیگر که برای ارائه دهندگان سرویس ها می باشد، از طریق تنظیم کردن تنظیمات CSF است. برای جلوگیری از حملات dovecot/lmtp توسط CSF و حفاظت از تمامی سایت های زیر نظر سرور شما از حمله dovecot/lmtp ، کافیست وارد تنظیمات CSF شوید و گزینه های زیر را فعال کنید.

LF_SMTPAUTH
LF_DISTATTACK
LF_DISTSMTP
LF_DISTSMTP_UNIQ
LF_DISTSMTP_PERM

البته استفاده از روش اول، این برتری را نسبت به روش دوم دارد که با استفاده از سرویس هایی مانند کلودفلر، وبسایت شما از تمامی حملات ممکن راحت خواهد شد و جای هیچ نگرانی برای هیچ نوع اتکی نیست. روش دوم برای هاستینگ ها استفاده می شود که به کانفیگ سرور (http://wikibit.ir/) خود مسلط هستند، چراکه نمی توان برای تمامی وبسایت های زیر نظر سرور، کلود فلر فعال کرد. توجه داشته باشید راه هایی که توسط بسیاری افراد به شما معرفی خواهند شد از جمله تعویض آی پی که رایج ترین پیشنهاد است، به هیچ عنوان این مشکل را حل نخواهند کرد.

در صورت وجود هرگونه مشکل، با کارشناسان ویکی بیت در ارتباط باشید.
کانال ویکی بیت در تلگرام : @wikibit (http://t.me/wikibit)

مطلب خوبی بود. منهای اینکه شما منتشر کننده باشید یا نویسنده اینجا رویکرد گفتار با نویسنده هستش:


حملات dovecot/lmtp

این اصطلاح جدید است؟ یا شخصی ازش استفاده می کنید؟

ما دو نوع اتک داریم که ممکن است بر بستر سرویس dovecot اجرا شود:



برات فورس
اسپوفینگ


اگر سیستم در مقابل این 2 گروه از حملات ایمن و مانیتور شده باشد خوب است.

مورد مطرح شده اول:

LF_SMTPAUTH = کنترل تعداد لاگین ناموفق به ایمیل توسط کلاینت بیرونی (SMTP)

تنها نسبت به برات فورس با کلاینت عملی خواهد بود و در خصوص برات فورس با وب میل لازم است خود cPanel را نیز کانفیگ کنید. موارد زیر نیز:

LF_DISTATTACK
LF_DISTSMTP
LF_DISTSMTP_UNIQ

مانیتورینگ در مقابل تعدد درخواست و همان دیداس (عمدتا فلودها) هستند. که الزاما اینطور نیست هر عددی دلمان خواست بگذاریم و هر چقدر کمتر تنظیم کنیم سیستم بهتر باشد. حساسیت بی مورد و تنظیم نادرستش میتواند دسترسی جمع کثیری از کاربران شما را با سو تفاهم دیداس محدود کند.

باید اول بر اساس یک الگو در زمان سلامت سرور سنجیده و بعد برای هر سرور متناسب با خودش حساسیت این قسمت ها رو تنظیم کرد.


اما نکته مهم اینجاست که با وجود مثبت بودن این تنظیمات هنوز مشکل اسپوفینگ از طریق dovecot پا برجاست جهت آن نیز باید یک سری رول در smtpd_recipient_restrictions تعریف بشود.

اما در کل لفظ اشتباه جا نندازین خواهشا ما چیزی به نام dovecot attak نداریم!

مطلب خوبی بود. منهای اینکه شما منتشر کننده باشید یا نویسنده اینجا رویکرد گفتار با نویسنده هستش:



این اصطلاح جدید است؟ یا شخصی ازش استفاده می کنید؟

ما دو نوع اتک داریم که ممکن است بر بستر سرویس dovecot اجرا شود:



برات فورس
اسپوفینگ


اگر سیستم در مقابل این 2 گروه از حملات ایمن و مانیتور شده باشد خوب است.

مورد مطرح شده اول:

LF_SMTPAUTH = کنترل تعداد لاگین ناموفق به ایمیل توسط کلاینت بیرونی (SMTP)

تنها نسبت به برات فورس با کلاینت عملی خواهد بود و در خصوص برات فورس با وب میل لازم است خود cPanel را نیز کانفیگ کنید. موارد زیر نیز:

LF_DISTATTACK
LF_DISTSMTP
LF_DISTSMTP_UNIQ

مانیتورینگ در مقابل تعدد درخواست و همان دیداس (عمدتا فلودها) هستند. که الزاما اینطور نیست هر عددی دلمان خواست بگذاریم و هر چقدر کمتر تنظیم کنیم سیستم بهتر باشد. حساسیت بی مورد و تنظیم نادرستش میتواند دسترسی جمع کثیری از کاربران شما را با سو تفاهم دیداس محدود کند.

باید اول بر اساس یک الگو در زمان سلامت سرور سنجیده و بعد برای هر سرور متناسب با خودش حساسیت این قسمت ها رو تنظیم کرد.


اما نکته مهم اینجاست که با وجود مثبت بودن این تنظیمات هنوز مشکل اسپوفینگ از طریق dovecot پا برجاست جهت آن نیز باید یک سری رول در smtpd_recipient_restrictions تعریف بشود.

اما در کل لفظ اشتباه جا نندازین خواهشا ما چیزی به نام dovecot attak نداریم!


سلام. ما در هيچ كجاي مطلب ارسالي، اعلام نكرديم تعداد هرچه كمتر بهتر. طبيعي هستش كه هر كاربري، با توجه به نوع كاربري كه از سرور دارد، بايد تعداد فاكتور هاي اعلام شده در csf را تنظيم كند. اتك هاي از طريق dovecote/lmtp از نوع برات فورس هستن هميشه. اصطلاح استفاده را نيز نميشه اشتباه دانست چراكه اتك به dovecote را dovecote attacks ميناميم.
مورد دیگری که وجود دارد کاربران متوسطی که معمولا به تازگی تجربه مدیریت سرور را دارند با مواردی روبرو میشوند که معمولا با پاسخ شما زیر اتک هستید مواحه میشوند از سوی سرویس دهنده و ما توجه به مراجعاتی که از کاربران داشتیم تصمیم گرفتیم کمی ساده تر صرفا انها را با یکی از موارد حمله اشنا کنبم تا بتوانند مسیر رفع مشکل را پیدا کنند

اگر کلود فلر استفاده بشه خیلی خوبه.خیال آدم تا حدود زیادی راحت میشه


کلاد فلیر برای زمانی مناسب است که شما یک یا چند سایت محدود خود را میخواهید میزبانی کنید

خدا این cloudflare رو خیر بده انصافا. مثل اسید میمونه همه مشکلاتو حل میکنه:78::78:

ما در هيچ كجاي مطلب ارسالي، اعلام نكرديم تعداد هرچه كمتر بهتر. طبيعي هستش كه هر كاربري، با توجه به نوع كاربري كه از سرور دارد، بايد تعداد فاكتور هاي اعلام شده در csf را تنظيم كند.


مگر بنده گفتم شما چنین حرفی زدین؟ نیازی به دفاع نیست.



مانیتورینگ در مقابل تعدد درخواست و همان دیداس (عمدتا فلودها) هستند. که الزاما اینطور نیست هر عددی دلمان خواست بگذاریم و هر چقدر کمتر تنظیم کنیم سیستم بهتر باشد. حساسیت بی مورد و تنظیم نادرستش میتواند دسترسی جمع کثیری از کاربران شما را با سو تفاهم دیداس محدود کند.






اتك هاي از طريق dovecote/lmtp از نوع برات فورس هستن هميشه.

اتک های بستر داوکات 2 نوع هستند، یک نوع برات فورس هست و یک نوع اسپوفینگ هست. بنابراین همیشه برات فورس نیست !



اصطلاح استفاده را نيز نميشه اشتباه دانست چراكه اتك به dovecote را dovecote attacks ميناميم.

بنابراین از فردا خواهیم شنید:

ssh attak ... چرا که برات فورس روی ssh را باید ssh attak بنامیم.

قصد کل انداختن با شما نیست دوست عزیز، هدف جلوگیری از باب شدن اشتباه یک اصطلاح هست فقط. یک اصولی در حوزه امنیت وجود دارد شاید شما آگاه باشید ازشون من عرضش می کنم که حالا دیگر دوستان که شاید ندانند یاد بگیرند شما هم مروری برات بشود:

تهدیدها بر اساس حفره ها نامگذاری می شوند و اتک ها با متدهای اونها نامگذاری می شوند.

مثلا تفاوت نداره حمله به رمز کاربری ایمیل شما باشد یا به حساب root یا ... بهش می گن برات فورس، نه email attak یا root password attak.
یا مثلا تفاوت نداره روی DNS فلود کنند یا ftp یا روی ... بهش میگن سینک فلود .





مورد دیگری که وجود دارد کاربران متوسطی که معمولا به تازگی تجربه مدیریت سرور را دارند با مواردی روبرو میشوند که معمولا با پاسخ شما زیر اتک هستید مواحه میشوند از سوی سرویس دهنده و ما توجه به مراجعاتی که از کاربران داشتیم تصمیم گرفتیم کمی ساده تر صرفا انها را با یکی از موارد حمله اشنا کنبم تا بتوانند مسیر رفع مشکل را پیدا کنند


خوب این بستگی داره از کجا سرور اختصاصی خودشان را تهیه کرده باشند، به تجربه بی کیفیت ترین دیتاسنتر ها هم با جزئیات توضیحات نوع اتک را میدهند. حالا اگر سرویس دهنده دانش کافی برای انتقال مشکل به زبان ساده برای کاربر را نداشته باشد بحث دیگریست.

مفهوم ساده تر ترویج اصطلاح نادرست و اشتباه نیست. چون ماحصل دوستان دلسوزی چون شما این میشود که میان و میگن آقا اسکریپت شما باگ eval داره ! حالا بیا براش توضیح بده اون چیه و باگ نیست و فلسفه اش چیست ... یا مثل همین تاپیک اخیر بیان بگن SSL یک باگ امنیتی هست



خدا این cloudflare رو خیر بده انصافا. مثل اسید میمونه همه مشکلاتو حل میکنه


***ها وقتی دیدن وسیله ای با نام قفل اختراع شده است و کارشان سخت شده بود چند دسته شدند:

یک دسته توبه کردند.
یک دسته رفتند و باز کردن قفل یاد گرفتند.
اما اقلیت باهوشی هم بودند که خودشان مشغول تولید قفل های ظاهری و پخش آن بین مردم شدند :67:


این داستان در مورد هر اختراعی که نان عده ای را به نوعی آجر می کند صدق می کند. خصوصا در حوزه امنیت. البته اگر شما در اون گروه از افراد باشید که دغدغه اینفوسک و پریوایسی داشته باشید کافیس گوگل کنید:

"why you shouldn’t use Cloudflare"

شخصا استفاده از کلود فلیر را به کسی توصیه نمی کنم.

===== مرتبط.

http://www.webhostingtalk.ir/showthread.php?t=187414

مگر بنده گفتم شما چنین حرفی زدین؟ نیازی به دفاع نیست.







اتک های بستر داوکات 2 نوع هستند، یک نوع برات فورس هست و یک نوع اسپوفینگ هست. بنابراین همیشه برات فورس نیست !




بنابراین از فردا خواهیم شنید:

ssh attak ... چرا که برات فورس روی ssh را باید ssh attak بنامیم.

قصد کل انداختن با شما نیست دوست عزیز، هدف جلوگیری از باب شدن اشتباه یک اصطلاح هست فقط. یک اصولی در حوزه امنیت وجود دارد شاید شما آگاه باشید ازشون من عرضش می کنم که حالا دیگر دوستان که شاید ندانند یاد بگیرند شما هم مروری برات بشود:

تهدیدها بر اساس حفره ها نامگذاری می شوند و اتک ها با متدهای اونها نامگذاری می شوند.

مثلا تفاوت نداره حمله به رمز کاربری ایمیل شما باشد یا به حساب root یا ... بهش می گن برات فورس، نه email attak یا root password attak.
یا مثلا تفاوت نداره روی DNS فلود کنند یا ftp یا روی ... بهش میگن سینک فلود .





خوب این بستگی داره از کجا سرور اختصاصی خودشان را تهیه کرده باشند، به تجربه بی کیفیت ترین دیتاسنتر ها هم با جزئیات توضیحات نوع اتک را میدهند. حالا اگر سرویس دهنده دانش کافی برای انتقال مشکل به زبان ساده برای کاربر را نداشته باشد بحث دیگریست.

مفهوم ساده تر ترویج اصطلاح نادرست و اشتباه نیست. چون ماحصل دوستان دلسوزی چون شما این میشود که میان و میگن آقا اسکریپت شما باگ eval داره ! حالا بیا براش توضیح بده اون چیه و باگ نیست و فلسفه اش چیست ... یا مثل همین تاپیک اخیر بیان بگن SSL یک باگ امنیتی هست





***ها وقتی دیدن وسیله ای با نام قفل اختراع شده است و کارشان سخت شده بود چند دسته شدند:

یک دسته توبه کردند.
یک دسته رفتند و باز کردن قفل یاد گرفتند.
اما اقلیت باهوشی هم بودند که خودشان مشغول تولید قفل های ظاهری و پخش آن بین مردم شدند :67:


این داستان در مورد هر اختراعی که نان عده ای را به نوعی آجر می کند صدق می کند. خصوصا در حوزه امنیت. البته اگر شما در اون گروه از افراد باشید که دغدغه اینفوسک و پریوایسی داشته باشید کافیس گوگل کنید:

"why you shouldn’t use Cloudflare"

شخصا استفاده از کلود فلیر را به کسی توصیه نمی کنم.

===== مرتبط.

http://www.webhostingtalk.ir/showthread.php?t=187414

ببینید دوست عزیز، مطمئن باشید وقتی ایشون میان میگن فلان مشکل مراجعه زیاد داشته، اطلاع دارن که میگن چون سابقشون اثبات شدست. شاید برای کاربران شما پیش نیومده، دم شما گرم شما آخر کانفیگر ها اصلا!
واسه این اتک، هیچ نام خاصی ارائه نشده + در اینترنت سرچ کنید می بینید که حتی یوزر های خارجی، از اصطلاح حملات dovecot/lmtp استفاده میکنند برای این مشکل! حالا شما میخوایی بگی نه ؟ باشه شما حرفه ای ترین شخص در انجمن.
اتک ها به dovecot/lmtp بالغ بر 99.9999999% شون ( که میشه گفت همیشه ) برات فورس هست و نه اسپوفینگ. باز مجدد اگر میفرمایید جز اینه، کار شما درسته من حرفی ندارم.
شما می تونید از فردا SSH attack هم استفاده کنید کسی مشکلی به شما نمیگیره ولی حتما پیش از استفاده، سرچ کنید که اصطلاحی برای حمله به ssh وجود نداشته باشه و بعد از اون این اجازه رو خواهید داشت از این کلمه استفاده کنید و تمامی کاربرا هم متوجه منظورتون میشن. باز اگر میگین نه، همون جمله همیشگی بنده. اما شما بگو مشکل برات فورس اتک دارم، بعد جایی که میخواد مشکلتو حل کنه ببین بررسی میکنه برات فورس اتک به کدوم قسمت یا نه! اونوقت تو پست آموزشی، بگن برات فورس اتک که همه اتک ها از نوع برات فورس به قسمت های مختلف رو در بر بگیره :) جالبه، معلومه خیلی خوب میتونید آموزش بدید به کاربراتون و از مشکلشون مطلعشون کنید...
آموزش هایی که داده میشه برای همینه که اگر کاربری به هر دلیلی از هاستینگی که پشتیبانی 24 ساعته نداره و کاربر معطل میمونه برای تیکتش، بتونه خودش مشکل رو متوجه بشه و مشکل رو حل کنه! نوع پست آموزشیه وگرنه کسی نباید آموزش نصب سی پنل رو تو نت بذاره چون دیگه افتضاح ترین دیتاسنتر ها هم نصب میکنن موقع سفارش اگر بخوایین یا مثلا نباید آموزش روت کردن آی پی باشه چون دیتاسنتر انجام میده دیگه. یا مثلا ابیوز چند نوعه و علتش چیه چون گزارش میفرسته دیگه دیتاسنتر... کلا طرز فکر بسیااااااااار درستی دارید شما.

استفاده یا عدم استفاده از هر سرویسی که ارائه میشه، 100% اختیاریه! کسی نگفته شما مجبوری استفاده کنی وگرنه فلان میکنیم و این حرفا که!! یک سولوشن هستش واسه این مشکل، شما میگی خوب نیست؟ استفاده نکن دوست عزیز. من شخصا دوست دارم کلودفلر رو و استفاده میکنم ازش هرجا که لازم بشه!

موفق باشید. یک پست آموزشی تا به کجا که کشیده نشد :|

اینجا دوست ما زحمت کشیده و مطلب مفیدی منتشر کردند که بنده در خصوص یک اشتباه تذکری دادم با توضیحات علمی. اصلا بیاین فرض کنیم این اشتباه من بوده که کلمه "dovecot attack" را به کار برده ام و بابتش از شما و دوستمان و دیگران عذر خواهی هم می کنم. لطفا دیگران به کارش نبرند تا باب نشود. این بحث حل شد شما اگر قصد داری سر خودت را گرم کنی منتظر جواب من نباش، هر کس به قدر گوگل کردن سوادش برسد متوجه درستی یا نادرستی نظر شما یا بنده خواهد شد.


استفاده یا عدم استفاده از هر سرویسی که ارائه میشه، 100% اختیاریه!
قطعا همینطور است. شما و دوستمان نظرتان را گفتید.
بنده نیز نظر و توصیه خودم را مطرح کردم برای آن دسته از افراد که دنبال کننده نظرات بنده بیسواد و کم تجربه هستند، مخاطب من اساتید و صاحب نظرانی چون شما و آلماهاست نیست.


کسی نگفته شما مجبوری استفاده کنی وگرنه فلان میکنیم و این حرفا که!!

عاقبت این ادبیات و کارها پشیمانیست.

از اطلاعات تخصصی هر دو بزرگوار استفاده میشه و ممنون برای نشر این مطالب آقای آرایش و ممنون از شما آقای ابوعلی بابت تکمیل کردن آن.

قطعا برخی ها مشکلاتی دارند که دیگران ندارند. هدف پست اول قطعا همین هست.
خوشبختانه تایپک هم منحرف نشده است و همه چیز در مسیرش هست.

مدیر جان، تایپک قفل بشه به نظرم بهتر هست.
این موارد علمی بایگانی بشه بسیار عالی هستند. :53: