Hallo an Alle,
wir haben auf einem Server (Domino 9.0.1 auf Linux) eine Firewall-Applikation, die Events entgegennimmt und IP-Adressen, von denen ein STMP-Authentication-Fehler ausgelöst wurde, für einige Zeit per iptables sperrt.
Das ganze funktioniert wirklich hervorragend und hat nur ein einziges Problem.
Wenn längere Zeit kein Event auftritt schmeißt der Server die Datenbank aus dem Speicher und muss diese beim nächsten Event erst wieder laden. Dieses laden dauert natürlich einige Zeit, sodass "Angreifer" die Möglichkeit haben mehrere Attacken gegen den SMTP-Server zu fahren (der schnellste hat 5 geschafft). Wenn die DB noch im Speicher ist, ist das System so schnell, dass die IP-Adresse schon nach dem ersten Versuch gesperrt ist und der Server für den potentiellen Angreifer nicht mehr sichtbar ist.
Frage: wie kann man den Domino-Server dazu bewegen diese Datenbank permanent geladen zu haben?
Schon mal vielen Dank für Eure Hilfe.
Gruß Thorsten
Hintergrund: nach einigen Brute-Force-Attacken, die zum Glück alle erfolglos blieben, haben wir uns diese Lösung überlegt. Die IP-Adressen werden erst mal nur für eine Stunde gesperrt und gespeichert. Jeder weitere Angriffsversuch von einer bekannten IP-Adresse verdoppelt diese Zeit. Wir haben so die Anzahl der Attacken von bis zu 50000/Stunde auf ca. 5/Tag reduzieren können.
Wir sind einfach mal davon ausgegangen, dass Server, die Angriffsversuche auf unseren SMTP-Task loslassen uns wohl kaum ernsthaft in nahe liegender Zeit eine Nachricht senden möchten oder eine der Webseiten besuchen, die auf dem Server liegen
Mit einer kleinen Erweiterung haben wir auch IP-Adressen ausgesperrt, von denen versucht wird Seiten mit bestimmten Adressen (z.B. wp-login.php etc.) auszusperren. Da wir PHP auf diesem Server und den darauf liegenden Webseiten nicht nutzen, können dies nur Versuche von bösen Buben sein, die glauben ein CMS finden zu können, bei dem das Default-Passwort nicht geändert wurde. Wir sind mal davon ausgegangen, dass sich keiner derart vertippt.