AUTH sonrasında Postfix bağlantısı kesildi

12

Posta sunucularımdaki günlüklere baktığımda, aşağıdaki gibi mesajlar fark ettim:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

Bu durumlarda SASL hatası yoktur. Diğer zamanlarda günlüğe kaydedilen SASL hataları var, ancak hiçbir zaman ile değil lost connection after AUTH.

Burada neler oluyor ve bu konuda bir şey yapmalıyım?
Bunlar MX değil ve zaten smtpd_client_connection_rate_limitayarlanmış.

Muhtemel ilgili:
Sistemler AUTH açıklanmadan önce SMTPS veya STARTTLS gerektirir.

postfix 
84104
kaynak
Postfix'in hata ayıklama seviyesini artırabilir misiniz?
Khaled
Yapabilirim, ancak bu günlük dosyalarını önemli ölçüde daha yüksek bir oranda artıracak ve bu olaylar düzensiz. Bu artan günlük kaydı netleşmeye ne yardımcı olacak?
84104
1
Bu nedenle, küçük bir süre ve bu hatayı almayı beklediğinizde artırmanız gerekir. Bu, umarım bu hatanın anlamı hakkında daha fazla ipucu verir.
Khaled

Yanıtlar:

9

Bu, Çin'den Spam göndermeye çalışan kutunuza bağlanan bir botnet. Ancak bot, kendini doğrulaması söylendiğinde ne yapılacağını bilmek için çok aptalca. Bot sadece posta teslim etmeyi durduruyor ve bir sonraki kurbana saldırmak için bağlantıyı kesiyor.

Endişelenecek kesinlikle bir şey yok.

mailQ
kaynak
3
Yeterince yakın. AUTH veren ve aldıktan sonra temiz bir şekilde çıkan bir tür komut dosyası gibi görünüyor 503 5.5.1 Error: authentication not enabled. Ncat ile çoğaltmayı başardı. Yine de oran sınırına ulaşana kadar denemeye devam ediyor olsa da benden öte. Belki kullanıcı adı / şifre çiftlerini zorlamaya çalışıyor olabilir? Her iki durumda da, çok aptalca çok endişe.
84104
2
Bir test olarak, bu satırı yalnızca günlüklerime alıyorum ve sadece Thunderbird ve bilinen bir hesap için geçersiz bir şifre kullanarak herhangi bir SASL hatası görmüyorum. Kimliği doğrulanmış posta her zaman Postfix üzerinden engellenmeden geçtiğinden, doğru yanıt, mümkünse, kaba kuvvet girişimi sayısını minimumda tutmak için gönderilen fail2ban komut dosyasını kullanmaktır. Kaba kuvvet şifre girişimleri, kutunuzu açık bir röleye dönüştürmekten kaçınmak için kesinlikle endişelenilecek bir şeydir - özellikle bu, günlüklerinizdeki tek satırsa.
CubicleSoft
Günlükleri sanki bir saniye alıyor gibi görünüyor, bu da sunucuyu zorlamaya çalışan biri olabilir, bu da endişelenecek bir şey. En azından fail2ban'ı kullanmanızı öneririm. Bir kaba kuvvet sorununu tamamen çözmeyecek, ancak büyük ölçüde azaltacaktır.
Severun
21

Günlük dosyalarım doldu ve bu gerizekalı bir bağlantıya bile izin vermek cpu israfı. Bir fail2bankural oluşturdum .

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

İçeriği /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

İçeriği /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
the7erm
kaynak
2
Bu benim günümü kurtardı. Ben şu kuralı eklendi: failregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$. Birkaç dakika içinde yüzlerce böyle bağlantı denemesi yaptım. Bu konuda bir şeyler yapmak zorundaydım.
chmike
Bu biraz daha genel:failregex = lost connection after AUTH from (.*)\[<HOST>\]
CubicleSoft
@chmike: Sondan önceki nokta $kaldırılmalıdır. Burada regex onunla çalışmadı.
cweiske
3

Sadece smtpd_recipient_restrictionsşu şekilde ayarlandı reject_unknown_client_hostname:

smtpd_recipient_restrictions = reject_unknown_client_hostname

bu da istemcileri reddetmeye ve bilinmeyen ana bilgisayar adlarına sahip başıboş veya aptal zombi botlarına neden olur. Günlükleriniz ayarlandığında şu şekilde görünecektir:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]
bay
kaynak
Bu (çok eski) soru için zaten kabul edilmiş bir cevap var.
BE77Y
1
Bilinmeyen ana makine adı sorun değildi / değildi. lost connection after AUTHoldu / olduğunu.
84104
1
Sorunları "Burada neler oluyor ve bu konuda herhangi bir şey yapmalıyım?" Ve bu tamamen geçerli bir cevap.
inorganik
2

Endişelenecek çok şey olup olmadığından emin değilim, temelde bir müşteri / 'birisi' bağlanıyor, AUTH yayınlıyor ve kendi anlaşmalarıyla bağlantıyı kesiyor. Bu, bir posta istemcisinden sunucu yeteneklerini araştırmak ya da artalan sürecini ele alma girişimi olabilir.

Yerinde yeterli güvenliğe sahip olduğunuz sürece, dünyadaki kapıya bir başka vuruş daha.

ince buz
kaynak
Arka arkaya 3 veya 4 kez olsa bile?
Alexis Wilke
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.