Cách xử lý Brute Force cho máy chủ Mdaemon

2 ngày trước
Khuong Duy
5 phút

Lỗi bị tấn công brute-force trong MDaemon và cách khắc phục

Brute-force attack là hình thức tấn công mà hacker thử nhiều mật khẩu khác nhau để xâm nhập vào tài khoản email trên MDaemon. Nếu không có biện pháp bảo vệ, hacker có thể chiếm quyền tài khoản và sử dụng để gửi spam, đánh cắp thông tin.

1. Dấu hiệu nhận biết bị tấn công brute-force

  • Log Security.log có nhiều lần đăng nhập thất bại từ một hoặc nhiều địa chỉ IP lạ.

  • Nhiều tài khoản email bị khóa do nhập sai mật khẩu quá nhiều lần.

  • Máy chủ MDaemon bị chậm bất thường do quá nhiều yêu cầu đăng nhập.

  • Email gửi đi bị đưa vào spam do tài khoản bị hacker kiểm soát.

2. Cách kiểm tra dấu hiệu tấn công

  • Vào MDaemon -> Logs và kiểm tra file Security.log để xem các IP lạ đăng nhập nhiều lần.

  • Kiểm tra Dynamic Screening Logs để xem danh sách IP bị chặn.

  • Kiểm tra SMTP-in.log để xem có email spam nào được gửi ra từ máy chủ không.

3. Cách ngăn chặn và bảo vệ MDaemon khỏi tấn công brute-force

3.1. Bật Dynamic Screening để chặn đăng nhập sai nhiều lần

  • Vào Security -> Dynamic Screening.

  • Kích hoạt tùy chọn “Block IP addresses that fail authentication”.

  • Cấu hình giới hạn số lần thử mật khẩu trước khi IP bị chặn:

    • Ví dụ: Chặn IP nếu nhập sai 5 lần trong vòng 10 phút.

  • Bật tùy chọn “Auto-block for 30 minutes” để tạm thời chặn IP tấn công.

3.2. Chặn IP lạ bằng IP Screening

  • Vào Security -> IP Screening.

  • Nếu thấy IP đáng ngờ trong Security.log, thêm vào danh sách chặn (Blacklist).

  • Nếu máy chủ chỉ phục vụ nội bộ, có thể cho phép chỉ IP của công ty được truy cập.

3.3. Hạn chế quyền truy cập theo quốc gia (Country Screening)

  • Vào Security -> Country Screening.

  • Chặn đăng nhập từ các quốc gia không liên quan đến hoạt động của công ty.

3.4. Bật xác thực SMTP bắt buộc

  • Vào Setup -> Server Settings -> SMTP Authentication.

  • Bật tùy chọn “Require SMTP Authentication” để bắt buộc người dùng phải xác thực trước khi gửi email.

  • Kiểm tra lại cấu hình SPF, DKIM, DMARC để ngăn chặn email giả mạo.

3.5. Kiểm tra và đổi mật khẩu tài khoản bị nghi ngờ

  • Vào Account Manager để kiểm tra tài khoản có đăng nhập bất thường.

  • Nếu phát hiện tài khoản bị hack, đổi mật khẩu ngay lập tức.

  • Yêu cầu người dùng sử dụng mật khẩu mạnh (ít nhất 12 ký tự, bao gồm số, chữ hoa, chữ thường và ký tự đặc biệt).

3.6. Giới hạn kết nối từ cùng một IP

  • Vào Setup -> Server Settings -> Sessions & Connections.

  • Giới hạn số lượng kết nối tối đa từ một IP để giảm thiểu tấn công.

3.7. Giám sát log thường xuyên

  • Định kỳ kiểm tra Security.logSMTP-in.log để phát hiện tấn công sớm.

  • Nếu phát hiện IP đáng ngờ, chặn ngay trong IP Screening.

4. Cách khôi phục sau khi bị tấn công brute-force

  • Nếu tài khoản đã bị hack, cần đổi mật khẩu ngay.

  • Nếu máy chủ bị lợi dụng để gửi spam, kiểm tra log Outbound Queue để xóa email spam.

  • Kiểm tra danh sách blacklist tại MXToolbox để xem IP có bị đưa vào danh sách đen không.

Để lại một bình luận 0

Tài khoản email của bạn sẽ không được công khai. Trường bắt buộc được đánh dấu *