Trattare con un attacco di comando non valido SMTP

Uno dei nostri server di posta semi-occupati (sendmail) ha avuto molte connessioni in entrata negli ultimi giorni da host che stanno emettendo comandi spazzatura.

Negli ultimi due giorni:

• connessioni smtp in entrata con comandi non validi da 39.000 IP univoci
• gli IP provengono da varie gamme in tutto il mondo, non solo da alcune reti che posso bloccare
• il server di posta serve gli utenti in tutto il nord america, quindi non posso semplicemente bloccare le connessioni da IP sconosciuti
• esempi di comandi errati: http://pastebin.com/4QUsaTXT

Non sono sicuro di ciò che qualcuno sta cercando di realizzare con questo attacco, oltre a infastidirmi.

qualche idea di cosa si tratta o come gestirla efficacemente?

Ecco almeno un'opzione per tarpitting di queste connessioni dopo che iniziano a sputare errori. I clienti validi e ben educati non dovrebbero mai cadere in questo tarpit.

dnl # New option in v8.14.0
dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP
dnl #   commands) before daemon will throttle connection by slowing
dnl #   error message replies (similar to "confBAD_RCPT_THROTTLE")
define(`MaxNOOPCommands', `5')dnl

Puoi anche utilizzare la funzione GreetPause, che rifiuterà questi client perché è improbabile che rispettino la pausa. Puoi leggere di più qui: http://www.deer-run.com/~hal/sysadmin/greet_pause.html

dnl # New feature in v8.13.1 (not listed in Companion)
dnl # Set time in milliseconds before sendmail will present its banner
dnl #   to a remote host (spammers won't wait and will already be
dnl #   transmitting before pause expires, and sendmail will
dnl #   refuse based on pre-greeting traffic) 5000=5 seconds
dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries
dnl #       in access table
FEATURE(`greet_pause',`5000')dnl

Vorrei installare Fail2ban e bloccare al suo primo comando non valido.