Здравствуйте! не могу справится с атакой на сервер путем отправки тысяч сообщений на несуществующие почты моих доменов, сервер испытывает нагрузку и все работает очень медленно или даже что то перестанет работать, к примеру сервер баз данных просто отключается, в итоге все сайты не работают

пример лога /var/log/exim4/mainlog

2024-02-06 13:07:24 H=([124.89.116.178]) [124.89.116.178] F=\ rejected RCPT : Unknown user 

2024-02-06 13:07:24 H=([124.89.116.178]) [124.89.116.178] F=\ rejected RCPT : Unknown user

 2024-02-06 13:07:24 H=([124.89.116.178]) [124.89.116.178] F=\ rejected RCPT : Unknown user

 2024-02-06 13:07:28 H=93-86-60-227.static.isp.telekom.rs [93.86.60.227] F=\ rejected RCPT : Unknown user

 2024-02-06 13:07:28 H=93-86-60-227.static.isp.telekom.rs [93.86.60.227] F=\ rejected RCPT : Unknown user

 2024-02-06 13:07:28 H=93-86-60-227.static.isp.telekom.rs [93.86.60.227] F=\ rejected RCPT : Unknown user

в логе миллионы строк c разных ip, по гео заблокировать не реально страны разные, по подсети тоже. Пробовал вручную отбирать ip и блокировать, просидел сутки, но у них миллионы адресов. вот только за пол часа

92.118.39.240 194.55.186.130 194.55.186.231 193.222.96.100 193.222.96.141 193.222.96.23 200.50.143.210 116.228.57.126 220.173.37.241 178.217.64.235 61.145.111.206 77.240.33.87 85.237.57.200 41.216.84.18 170.78.232.61 217.72.125.172 101.231.247.210 189.8.125.130 175.203.245.102 210.56.26.114 43.230.199.130 2.57.219.14 124.167.20.84 38.53.131.65 27.72.41.165 42.112.21.207 220.180.171.185 114.108.127.188 218.156.1.212 96.65.211.250 185.206.201.141 221.163.227.238 24.247.68.114 122.180.144.40 110.227.215.90 84.238.27.103 91.218.160.238 27.122.62.186 122.166.56.111 125.72.254.83 189.53.85.222 51.68.230.153 122.166.220.147 110.42.213.157 103.6.122.14 110.175.220.250 188.32.94.222 60.247.92.186 223.84.251.73 38.49.182.103 98.156.31.154 128.199.91.244 103.253.209.51 91.202.230.214 122.160.53.132 222.128.28.202

тех поддержка ispmanager огорчила и сказала нет у них никакой защиты на этот случай, цитирую ответ из тикета 11145877:

"Описанная вами атака больше похожа на Directory Harvest Attack - эта атака сбора каталога, метод, используемый спамерами при попытке найти действующие адреса электронной почты в домене с помощью перебора. В панели не предусмотрены специальных средств для борьбы с этим типом атаки.  Рекомендую вам обратиться к профильному специалисту по инфобезопасности или на тематические форумы"

Профильные специалисты от хостеров (у меня много впс на разных хостингах), тоже не знают что делать.

Получается, так можно убить любой впс в данный момент, защиты нет вообще никакой! (отключение exim4 для меня не вариант, товар клиентам доставляется почтой). Такая история не на одном моем ВПС, а на большинстве, возможно у всех идет повышенная нагрузка в данный момент, проверьте логи /var/log/exim4/mainlog

Нужно какое то решение, к примеру:

1. автоматически блокировать ip который два раза шлет на несуществующий почтовый адрес

2. запретить перебор ящиков.

 ПОМОГИТЕ КТО ЗНАЕТ! ЧТО ДЕЛАТЬ? Поддержку ispmanager прошу внести этот вопрос в разработку