? ??今天發現Qmail郵件系統的maillog里面有大量的“user not found”信息，通過下面的日志不難發現，是來自同一IP的很多不同的用戶連接Qmail郵件系統認證失敗的信息。黑客試圖通過這種方式來破解Qmail郵件系統的用戶名和密碼，從而來發送大量的垃圾郵件和病毒郵件。

????大量的并發連接會消耗Qmail系統的性能，甚至在嚴重的時候會造成正常郵件無法發送和接收，即出現連接SMTP超時情況。通過Linux的Iptables封殺掉這些IP地址即可，下面是我寫的Iptables的腳本，如有錯誤，請多多指正。

?????腳本的邏輯結構大致是：分析統計系統maillog日志，取出攻擊者的IP地址，然后和服務器的Iptables腳本（iptables.sh）作對比，如果該IP地址沒有在iptables.sh里面，添加一條DROP的策略到iptables.sh，然后發送一份郵件給系統管理員，并重新加載iptables.sh。
??? 下面測試一下這個腳本的運行效果，手動執行一下這個腳本。
[root@mail sh]#?sh add_badip_iptables.sh
查看一下badip.txt文件,里面添加的是被攻的IP地址信息。 ?

? ??查看系統管理員的郵箱里面也成果收到用戶的報警郵件。

?????同時發現Iptables.sh腳本文件也成功添加DROP記錄。

? ? 最后用iptables -L查看已經把這些IP成功添加到Linux系統的Iptables防火墻策略里面，并且給DROP掉了。

????最后添加crontab,每隔10分鐘讓系統自動執行。

????總結：建議在所有的郵件系統上面都應該有這樣的防范措施，另外，郵件運維人在員在設置郵箱用戶名的時候盡量避免test,salse,test01這樣的用戶名，很容易被黑客猜測到，同時設置的郵箱密碼應該符合大寫，小寫，數字和特殊字符的組合。

附件：http://down.51cto.com/data/2360726