Сервер Exchange расположенный за mikrotik.
Клиенты подключаются через web owa и outlook anywhere
Чтобы очень сильно сервер не досяли попробовал прописать такое правило
1 ;;; DDOS block e-mail
chain=forward action=drop src-address-list=ddos_mail log=no log-prefix=""
2 ;;; DDOS block e-mail
chain=forward action=add-src-to-address-list connection-limit=20,32 protocol=tcp dst-address-list=mail server
address-list=ddos_mail address-list-timeout=15m dst-port=443 log=no log-prefix=""
где dst-address-list=mail server адрес почтового сервера.
При такой конфигурации пользователи жалуются, что иногда случается блокировка у них. Хотя странно outlook посылает одновременно больше 20 соединений.
Сейчас поменял на 50
Можете поделиться информацией, как лучше настраивать защиту почтового сервера используя mikrotik?
Почтовый сервер ограничения одновременный соединений
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Вы уверены что вас именно дидосят, а не перебирают логины и пассы ваших пользователей? Если второе, то мы с такой штукой боремся очень просто:
1) Лимит на попытки ввода пароля, 5 раз ввел неверно - кури бамбук 30 минут, или звони что бы учетку разблокировали, а что бы не страдать самим из-за постоянно звонящих коллег, под учетки которых перебирают связки логин пасс используем второй пункт, который реально очень помогает.
2) В качестве алиасов для AD учеток и соответственно адресов используются "сложные" слова, т.е. у нас нет имэйлов аля - lena@company.ru, sale@company.ru и т.д. т.к. именно такие учетки и пытаются ломать в первую очередь, поэтому мы используем конструкции вида l.petrova@сompany.ru и это очень выручает. По крайней мере мы видим, что учетки с простыми алиасами (есть и такие, но это скорее необходимость и исключения) ломать пытаются, а вот сложные даже и не припомню что бы трогали.
А по лимиту подключений, как это делаете вы, чревато. Случись так, что из-за ната вне компании пара ваших сотрудников попытается посмотреть почту, например находясь в командировке на какой нибудь конференции и т.д. все они будут пользоваться wi-fi и ваша чудная конструкция закроет им всем доступ разом, так как ip у них будет один на всех, а подключений ого-го)))
1) Лимит на попытки ввода пароля, 5 раз ввел неверно - кури бамбук 30 минут, или звони что бы учетку разблокировали, а что бы не страдать самим из-за постоянно звонящих коллег, под учетки которых перебирают связки логин пасс используем второй пункт, который реально очень помогает.
2) В качестве алиасов для AD учеток и соответственно адресов используются "сложные" слова, т.е. у нас нет имэйлов аля - lena@company.ru, sale@company.ru и т.д. т.к. именно такие учетки и пытаются ломать в первую очередь, поэтому мы используем конструкции вида l.petrova@сompany.ru и это очень выручает. По крайней мере мы видим, что учетки с простыми алиасами (есть и такие, но это скорее необходимость и исключения) ломать пытаются, а вот сложные даже и не припомню что бы трогали.
А по лимиту подключений, как это делаете вы, чревато. Случись так, что из-за ната вне компании пара ваших сотрудников попытается посмотреть почту, например находясь в командировке на какой нибудь конференции и т.д. все они будут пользоваться wi-fi и ваша чудная конструкция закроет им всем доступ разом, так как ip у них будет один на всех, а подключений ого-го)))
-
- Сообщения: 71
- Зарегистрирован: 26 апр 2017, 13:10
KARaS'b спасибо за ответ. У нас примерно также как Вы описывали в пункте 2
Теоретически досять могут и страницу с паролем, посылая несколько десятков запросов в секунду с неверным паролем с одного IP адреса при этом нагружая почтовый сервер.
Думаете не имеет смыла в такой конфигурации?
Теоретически досять могут и страницу с паролем, посылая несколько десятков запросов в секунду с неверным паролем с одного IP адреса при этом нагружая почтовый сервер.
Думаете не имеет смыла в такой конфигурации?