Connect. Communicate. Collaborate. Securely.

Domů » Česky » Kerio Control » držená SMTP spojení (blokování legálních klientů)
  •  
ozana je nyní offline ozana

Příspěvky: 697
Odeslat poštu tomuto uživateli
V poslední době se objevuje problém s přístupem ke službám poštovního serveru z internetu. Na firewallu vidím desítky minut stará spojení na SMTP službu poštovního serveru. Jak se těch spojení od spamerů zbavit? Proč spojení nevyprší?
[img]./fa/280/0/[/img]

  •  
Pavel Dobrý (Kerio) je nyní offline Pavel Dobrý (Kerio)

Příspěvky: 1550
Odeslat poštu tomuto uživateli
Tohle je spíše otázka do Control fóra. Kerio Connect SMTP spojení ukončuje po timeoutech stanovených v RFC (typicky 2-10 minut nečinnosti). Jsou tato spojení i na serveru s Kerio Connect? Nebo jen v Kerio Controlu?

Databáze znalostí: http://kb.kerio.com/
Technická podpora: http://www.kerio.cz/cz/support
  •  
ozana je nyní offline ozana

Příspěvky: 697
Odeslat poštu tomuto uživateli
Zdá se že jen v Controlu.

Hlášení Too many simultaneous SMTP connections se v Conectu neobjevují.

[Aktualizováno: St, 25 únor 2015 13:11]

  •  
ozana je nyní offline ozana

Příspěvky: 697
Odeslat poštu tomuto uživateli
Kolik aktivních spojení Control zvládne?
  •  
jhorda je nyní offline jhorda

Příspěvky: 12
Odeslat poštu tomuto uživateli
Nejake reseni ? U mne od 25.unora to same, za Controlem je Exchange 2007, SMTP je blokovano IP adresou, po zablokovani se nekdy do 15 minut objevi zase jina.

Co s tim ?
  •  
HOF je nyní offline HOF

Příspěvky: 6
Odeslat poštu tomuto uživateli
U nás to samé, musel jsem kvůli tomu i přerušit dovolenou, takže nemám pro Kerio zrovna slova chvály:

...už přes týden jsme pod masivními DoS SMTP (a HTTPS) útoky a Control je proti tomu naprosto bezzubý.
Dával jsem i ticket na technickou podporu, ale tam jsem jen dostal informaci, že někdy v budoucnu snad bude zakomponována funkce proti těmto útokům, ale časový výhled je ve hvězdách.
Přitom např. i FileZilla nebo jiné free FTP servery mají běžně funkci blokovat zdrojové IP, ze kterých je nadlimitní připojení. Bohužel Control neblokuje zdrojovou IP útočníka, ale náš cílový Mailserver. Kerio Connect sice má funkci na zahazování nadlimitních SMTP připojení, ale Control si je stejně v aktivních připojeních drží (střádá) a po dosažení limitu náš Mailserver odřízne.

Vedení společnosti už dochází trpělivost, takže další plán je navázat jednání s naším poskytovatelem připojení, který nabízí vlastní integrované řešení a na rozdíl od Keria by měl tyto útoky umět odfiltrovat. Vzhledem k tomu, že máme na všech pobočkách stejného poskytovatele (který nám bude moci poskytnout VPN i routování), tak je pak otázka jestli má smysl vůbec používat Kerio Control a nepřejít jen na řešení našeho ISP.
  •  
jhorda je nyní offline jhorda

Příspěvky: 12
Odeslat poštu tomuto uživateli
Tak u nas to stejne tak. Snazim se to blokovat ale nekdy spat musim. Uvazuji na prechod na Cisco. Jen dotaz na providera pokud nahodou nema problem on - my jsme u GTS.
  •  
HOF je nyní offline HOF

Příspěvky: 6
Odeslat poštu tomuto uživateli
  •  
jhorda je nyní offline jhorda

Příspěvky: 12
Odeslat poštu tomuto uživateli
Pokud vam to zaclo v minulem tydnu tak jestli nahodou neni problem u naseho poskytovatele - bylo by divne pokud by to zacalo zaroven.
  •  
ozana je nyní offline ozana

Příspěvky: 697
Odeslat poštu tomuto uživateli
Já jsem také u GTSky.

Nakonec jsem zrušil příjem pošty na MX záznam s vyšším číslem (záložní).

MX 10 šel na první veřejnou IP
MX 20 šel na druhou veřejnou IP

obojí pak je směrováno na jeden poštovní server (jedna IP v LAN), útok šel jen na tu záložní.

A zatím je klid.
  •  
HOF je nyní offline HOF

Příspěvky: 6
Odeslat poštu tomuto uživateli
Už jsem volal na hotline GTS a tam prý o ničem neví. Chtěli poslat veškeré informace mailem, tak uvidíme.

Podle mě to, že útoky začali ve shodný čas na vícero zákazníků GTS (+ to, že GTS v současnosti prochází integrací pod T-mobile), tak to možná nebude s těmito útoky jen shoda náhod a možná nebudeme měnit poskytovatele bezpečnostního řešení, ale poskytovatele ISP...
  •  
jhorda je nyní offline jhorda

Příspěvky: 12
Odeslat poštu tomuto uživateli
Na GTS to mam take nahlasene, uvidime co s tim poresi. Jinak asi se neco deje, protoze od te doby i odezva GTS DNS je hrozna, vymenil jsem je za CZ.NIC a mnohem lepsi.
  •  
HOF je nyní offline HOF

Příspěvky: 6
Odeslat poštu tomuto uživateli
Tak z helpdesku GTS se mi už ozvali a odpověděli přesně v duchu jak jsem očekával, resp.: ...o problému víme, umíme ho řešit, ale proč by jsme to dělali zadarmo. V případě, že máte o tuto placenou službu zájem (ochrana před DDoS útoky), tak se obraťte na svého obchodního zástupce GTS...

Tzn. zákazníkovi GTS nezbývá nic jiného, než si tuto placenou službu koupit, nebo změnit poskytovatele a modlit se aby do doby, než Kerio přijde s řešením neměl tento "přístup" i nový poskytovatel.
Popravdě řešení a přístup od GTS i Keria mě jakožto platícího zákazníka velmi zklamal!
  •  
jhorda je nyní offline jhorda

Příspěvky: 12
Odeslat poštu tomuto uživateli
Tak z GTS se ozvali, mame si koupit jejich produkt. Zvazoval jsem tedy zmenu providera, ale od vcerejsiho poledne je s utoky konec ! Nevim zda neco udelali na GTS, nebo zda IPS na Keriu dostal nejakou aktualizaci, mozna jsem jiz take zablokoval vsechny IP utocniku. Kazdopadne budu dale sledovat a ozvu se v pripade zmen.
  •  
HOF je nyní offline HOF

Příspěvky: 6
Odeslat poštu tomuto uživateli
Nápodobně, u nás útoky včera odpoledne také přestaly.
Navíc jsem v kontaktu s CSIRT, kde jsem tento bezpečnostní incident nahlásil.

Dále zvažujeme, jestli zůstat u GTS, protože GTS by si měla uvědomit, že od nich nemáme nějaké obyč ADSL za 490,-/měs., ale na všech pobočkách od nich máme symetrii asi 10x dražší. A za takové peníze providera s takovým přístupem nepotřebujeme.
  •  
jhorda je nyní offline jhorda

Příspěvky: 12
Odeslat poštu tomuto uživateli
Tak utoky jsou zpatky, zkousel jsem i konfiguraci pomoci Cisco ale prochazi to take. Asi mi nic jineho nez zaplatit ochranu od GTS/T-mobile nezbyva.
  •  
HOF je nyní offline HOF

Příspěvky: 6
Odeslat poštu tomuto uživateli
Ano, u nás jsou útoky také zpět Sad

1) Ochrana od GTS/T-mobile (i ve verzi Basic) je velmi drahá, pro nás nereálné.
Až Vám pošlou z GTSky cenovou nabídku, tak doporučuji sedět Wink

2) Problémy začaly ve chvíli, kdy se GTS integrovala pod T-mobile, a i z vyjádření tech. podpory GTS to vypadá, že pravděpodobně hodily zákazníky GTS na nějakou méně bezpečnou páteřní síť. Tzn. hlavní problém vidím u poskytovatele GTS a pro nás je jedna z variant, kterou nyní řešíme, změna poskytovatele.

3) Stále také doufám v možnost, kterou mi zhruba před měsícem řekli na tech. podpoře Keria, a to že v některé další verzi Kerio Control (např. 8.6) bude mít Control mnohem lepší ochranu proti DoS útokům, Control by mohl umět automaticky blokovat konkrétní zdrojové IP, která budou mít nadlimitní počet připojení (např. více než 100 SMTP připojení z jedné IP). To by celý problém vyřešilo.
Předchozí téma: Anti-spoofing: Packet from LAN Switch
Další téma: Kerio Control v Debianu
Jít na fórum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Aktuální čas: So zář 23 14:46:13 CEST 2017

Celkový čas potřebný k vygenerování této stránky: 0.00513 vteřin
.:: Kontakt :: Domů ::.
Běží na: FUDforum 3.0.4.