Mi servidor de correo ha estado recientemente bajo un ataque muy extraño. Cada cinco o diez minutos, una nueva IP se conecta a SMTP, intenta probar nombres de usuario extraños (como pil, bennett, netscape, msfuser, desktop, fenix, clamav, emily, wwwrun, etc.). Cada intento sigue el mismo patrón exacto, probando el nombre de usuario como la contraseña, luego username1, luego username123, luego 123456. Después de eso, mi servidor pone la IP en una lista negra y rechaza todas las solicitudes posteriores de esa IP.
Este parece ser el ataque más inútil de todos. ¿Qué podrían estar esperando lograr? Originalmente, hubo un error de configuración que hizo que mi servidor de correo rechazara el correo de mi proxy de correo no deseado debido al ataque, pero lo solucioné hace un tiempo y aún continúan los intentos.
No está molestando a mi servidor ya que las solicitudes son bastante lentas y no son un volumen en particular. No tiene ninguna posibilidad de encontrar un nombre de usuario que funcione de esa manera, especialmente porque todos los dominios que maneja este servidor de correo son muy pequeños (como 5 o 10 usuarios en total). Se está quemando a través de un montón de nodos de botnet que pueden ser reportados. Parece una cantidad excesiva de costo (revelando IPs que contienen bots) en relación con las posibilidades muy limitadas de obtener un beneficio (basado en cuán limitado es el escaneo). ¿Es este tipo de cosas simplemente comunes en Internet y de alguna manera mi servidor se ha mantenido bajo el radar hasta ahora (a pesar de que lleva más de 10 años y anteriormente tenía un sitio de popularidad relativamente alta)?