Difendersi dal “Mailbombing” con Sendmail

Tutorial Linux – In caso di attacco di tipo Mailbombing (invio di così tante email a un particolare utente o sistema in modo da riempire l’hard disk) ci si può difendere  configurando appositamente il demone sendmail per bloccare tutte le email provenienti dal bombardatore. Bisogna fare questo aggiungendo l’indirizzo email del bombardatore o il nome del sistema al file access che si trova nella directory /etc/mail.

Ogni riga del file access contiene un indirizzo email, hostname, dominio o indirizzo IP seguito da una tabulazione e poi una parola chiave che specifica quale azione intraprendere quando quella entità invia un messaggio. Le keywords valide sono OK, RELAY, REJECT, DISCARD, e ERROR.
Utilizzando la parola REJECT si può fare in modo che ogni email sia rispedita indietro con un messaggio di errore. La parola DISCARD consentirà di scartare silenziosamente il messaggio senza inviare messaggi di errore. Si può addirittura inviare un messaggio di errore personalizzato utilizzando ERROR.
Quindi, un esempio del file /etc/mail/access può essere simile a questo:

# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost…
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY
#
# Senders we want to Block
#
[nohide][email protected][/nohide] REJECT
stimpy.glaci.com REJECT
cyberpromo.com DISCARD
199.170.176.99 ERROR:”550 Die Spammer Scum!”
199.170.177 ERROR:”550 Email Refused”

Come con la maggior parte dei file di configurazione Linux, le righe che iniziano con # sono dei commenti. La lista di spammer bloccati si trova alla fine di questo file d’esempio. Da notare che l’indirizzo da bloccare può essere un indirizzo email completo, un hostname, un dominio e basta, un indirizzo IP o una rete.
Per bloccare un particolare indirizzo email o un host loggati nel proprio sistema come root, occorre modificare il file /etc/mail/access aggiungendo una riga DISCARD per scartare le mail del sender che sta eseguendo il bombardamento.
Dopo aver salvato il file ed essere usciti dall’editor, occorre convertire il file access in un database hash-indexed chiamato access.db. Il database è aggiornato automaticamente con il riavvio di sendmail. Su Fedora e sugli altri sistemi Red Hat, si può convertire il database immediatamente, come segue:

# cd /etc/mail
# make
Sendmail dovrebbe adesso scartare le email provenienti dagli indirizzi che sono stati aggiunti.