开启了 SMTP/POP3S 后时不时被攻击，大家是如何应对的呢？

https://imgur.com/a/cYhXMsY
有这些被攻击的情况：
信息泄露：访问临时文件
Hyland Perceptive Content Server 拒绝服务漏洞
操作系统命令注入 - 位于 HTTP 请求参数中
Hikvision 产品 CVE-2021-36260 命令注入漏洞
WEB 漏洞扫描器 - Nmap Script
Web 服务器扫描攻击 - HTTP 400
Apache Log4j2 远程代码执行漏洞

没开 465/993 端口之前没这个问题

busier

197 天前

你又没设 ip 白名单，扫描器探测这种事情就不用大惊小怪了

yinmin

196 天前

smtps 和 pop3s 防黑客盲扫是有办法的：禁止无 sni 访问即可。我是前置用 nginx https stream ，指定 sni 域名转向 mail server 的 smtps 和 pop3s 端口，然后禁止无 sni 访问。

黑客盲扫一般是只知道 ip 不知道域名的，会直接给 nginx 挡住了。所有基于 tls 的协议都可以使用这种方式。

详细的配置方式可以问 gpt 。

john2023

196 天前

@yinmin https://imgur.com/a/VrzubmF 看样子是知道域名的。没修改前，我直接 openssl s_client -connect IP:PORT 是被拦截的，操作见图片。提供 servername 后就可以通过。

john2023

196 天前

@busier 这有大的风险吗 smtp 这类服务设置 ip 白名单后邮箱功能就受影响了吧？

yinmin

196 天前

https://imgur.com/a/cYhXMsY 这个报警不是攻击 465 和 993 端口的吧？

大概率与开 465/993 端口无关，只是时间巧合而已。

如果黑客通过特定域名攻击，有可能是同行竞争对手的攻击，而不是黑客通过 ip 地址段的盲扫。

john2023

196 天前

@yinmin 是邮箱服务端口。目的地址和目的端口指向我的邮箱服务。个人用的邮箱服务，不过服务器除了邮箱服务还有别的。

julyclyde

196 天前

你这几个漏洞看起来好像都是 web 方面不是邮件发面的？

lisxour

196 天前

用人家的邮箱服务

cnt2ex

195 天前

试试 fail2ban ，然后找 AI 生成能匹配这些扫描请求的正则表达式，或者看看网上有没有现成的匹配规则

john2023

195 天前

@julyclyde 那可能是 hacker 在撞库，在批量匹配漏洞。

@lisxour 是个思路，但还是想保留自己的邮箱服务，哈哈

@cnt2ex 谢谢提供思路，我开了 fail2ban ，不过只有 anti-cc 、scan 功能。防火墙有两道，这是第一道防火墙报的威胁，不过都被拦截了。

lisxour

195 天前

@john2023 #10 从实际使用的效果来说，用国内邮箱服务才是最优解，防攻击、防伪造、防垃圾，最最最重要的是自己搭的服务发邮件很容易进垃圾箱，这是硬伤。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1113591

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.