Как «правильно» забаннить IP адрес?

Question

[Александр]

Привет друзья.
Я сразу тысячекратно извиняюсь, могу писать на тунгуском языке! Надеюсь вы меня поймете!

Есть Kerio Connect 9.4.2 (Почтовый сервер)

В логах Security, какой то не хороший человек, подбирает логины/пароли.

[08/Nov/2022 09:01:10] SMTP: User rosa@******.com doesn't exist. Attempt from IP address 87.246.7.77.
[08/Nov/2022 09:01:16] Failed SMTP login from 87.246.7.77 with SASL method LOGIN.

[08/Nov/2022 09:01:33] SMTP: User pje@******.com doesn't exist. Attempt from IP address 87.246.7.77.
[08/Nov/2022 09:01:39] Failed SMTP login from 87.246.7.77 with SASL method LOGIN.

[08/Nov/2022 09:01:46] SMTP: User ipb@******.com doesn't exist. Attempt from IP address 87.246.7.77.
[08/Nov/2022 09:01:52] Failed SMTP login from 87.246.7.77 with SASL method LOGIN.

[08/Nov/2022 09:02:02] SMTP: User bac@******.com doesn't exist. Attempt from IP address 87.246.7.77.
[08/Nov/2022 09:02:08] Failed SMTP login from 87.246.7.77 with SASL method LOGIN.

[08/Nov/2022 09:02:15] SMTP: User cci@******.com doesn't exist. Attempt from IP address 87.246.7.77.
[08/Nov/2022 09:02:21] Failed SMTP login from 87.246.7.77 with SASL method LOGIN.

Есть Группа IP адресов Block, туда добавлен этот IP (87.246.7.77 / 255.255.255.0) - это правило не работает. Он так же продолжает нападать.

Вопросы:
1. Kerio естественно "лицензионный" - может в этом проблема?
2. Надо баннить на уровень выше? Microtik и т.д.
3. Скорее всего не правильно что-то настроено в Kerio?
4. После добавления в Группу Block, надо как-то хитро перезагрузить Kerio? так как после добавления IP адреса, там нет кнопки "Применить". Добавил и гуляй. Не понятно, правило начало действовать или надо ждать (чего то)?

По искал по мануалу (IP block...), ничего полезного не нашел.

Еще не понимаю, хоть убейте, зачем так сделано?


Только расчет на бабулек? Которые не могут ввести пароль с 5 попытки?

Comments

[Davydovdenis9999]

Выключи этот параметр и будет тебе счастье!

Answer 1

[ZERGeich]

По хорошему - это надо делать ещё до почтового сервера.
Маршрутизатор, прокси, файрвол, что у вас там есть.
Кроме всего прочего почему у вас указано 255.255.255.0? Зачем всю подсетку туда?

Comments

[Александр]

Чтоб не умничали хакиры (шутка). Да я просто пробовал добавить IP без маски, и с маской - толку нуль.

[ZERGeich]

Александр, Лучше всё-таки блокировать подобные массовые запросы до почтовика. У вас судя по логам - идёт запрос на авторизацию каждые 10-15 секунд. Брейте их на маршрутизаторе.

[Александр]

ZERGeich, попробуем. Можете подсказать, правильно ли я понял - если я хочу забанить один IP - то маска 255.255.255.254? А если подбирают с например 1.1.1.22 / 1.1.1.76 / 1.1.1.54 и так далее (меняются хосты), то я указывают 255.255.255.0 ?

Получается 31 и 24 маска..

[ZERGeich]

Александр, если маска требуется для блокировки - да, примерно так.

[Александр]

Спасибо за помощь!!!
Вопрос оставлю пока открытым, может какой-нибудь Kerioшник попадется, напишет какую-нибудь хитрость в настройках Kerio.