Почтовый сервер ограничения одновременный соединений

Обсуждение ПО и его настройки
Ответить
Agent Smit
Сообщения: 71
Зарегистрирован: 26 апр 2017, 13:10

Сервер Exchange расположенный за mikrotik.
Клиенты подключаются через web owa и outlook anywhere
Чтобы очень сильно сервер не досяли попробовал прописать такое правило
1 ;;; DDOS block e-mail
chain=forward action=drop src-address-list=ddos_mail log=no log-prefix=""

2 ;;; DDOS block e-mail
chain=forward action=add-src-to-address-list connection-limit=20,32 protocol=tcp dst-address-list=mail server
address-list=ddos_mail address-list-timeout=15m dst-port=443 log=no log-prefix=""

где dst-address-list=mail server адрес почтового сервера.

При такой конфигурации пользователи жалуются, что иногда случается блокировка у них. Хотя странно outlook посылает одновременно больше 20 соединений.
Сейчас поменял на 50

Можете поделиться информацией, как лучше настраивать защиту почтового сервера используя mikrotik?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Вы уверены что вас именно дидосят, а не перебирают логины и пассы ваших пользователей? Если второе, то мы с такой штукой боремся очень просто:
1) Лимит на попытки ввода пароля, 5 раз ввел неверно - кури бамбук 30 минут, или звони что бы учетку разблокировали, а что бы не страдать самим из-за постоянно звонящих коллег, под учетки которых перебирают связки логин пасс используем второй пункт, который реально очень помогает.
2) В качестве алиасов для AD учеток и соответственно адресов используются "сложные" слова, т.е. у нас нет имэйлов аля - lena@company.ru, sale@company.ru и т.д. т.к. именно такие учетки и пытаются ломать в первую очередь, поэтому мы используем конструкции вида l.petrova@сompany.ru и это очень выручает. По крайней мере мы видим, что учетки с простыми алиасами (есть и такие, но это скорее необходимость и исключения) ломать пытаются, а вот сложные даже и не припомню что бы трогали.

А по лимиту подключений, как это делаете вы, чревато. Случись так, что из-за ната вне компании пара ваших сотрудников попытается посмотреть почту, например находясь в командировке на какой нибудь конференции и т.д. все они будут пользоваться wi-fi и ваша чудная конструкция закроет им всем доступ разом, так как ip у них будет один на всех, а подключений ого-го)))


Agent Smit
Сообщения: 71
Зарегистрирован: 26 апр 2017, 13:10

KARaS'b спасибо за ответ. У нас примерно также как Вы описывали в пункте 2
Теоретически досять могут и страницу с паролем, посылая несколько десятков запросов в секунду с неверным паролем с одного IP адреса при этом нагружая почтовый сервер.
Думаете не имеет смыла в такой конфигурации?


Ответить