Постфиксное соединение потеряно после AUTH

12

Просматривая журналы на моих почтовых серверах, я заметил такие сообщения:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

В этих случаях нет ошибок SASL. Есть ошибки SASL, которые регистрируются в другое время, но никогда с lost connection after AUTH.

Что здесь происходит, и я должен что-нибудь с этим сделать?
Это не MX, а уже есть smtpd_client_connection_rate_limit.

Возможно связанные:
системы требуют либо SMTPS, либо STARTTLS, прежде чем объявить AUTH.

postfix

— 84104
источник

Можете ли вы повысить уровень отладки postfix?

— Халед

Я могу, но это будет увеличивать файлы журнала со значительно большей скоростью, и эти события носят эпизодический характер. Что это увеличенное ведение журнала поможет устранить неоднозначность?

— 84104

1

Итак, вам нужно увеличить его на небольшой промежуток времени и когда вы ожидаете получить эту ошибку. Надеемся, что это дает больше подсказок о том, что означает эта ошибка.

— Халед

9

Это ботнет из Китая, подключающийся к вашей коробке и пытающийся доставить спам. Но бот слишком глуп, чтобы знать, что делать, когда ему говорят аутентифицировать себя. Бот просто перестает доставлять почту, а затем отключается для атаки на следующую жертву.

Абсолютно не о чем беспокоиться.

— mailq
источник

3

Достаточно близко. Кажется, что это какой-то скрипт, который выдает AUTH и нечисто завершает работу после получения 503 5.5.1 Error: authentication not enabled. Был в состоянии повторить с ncat. Хотя почему он продолжает пытаться до тех пор, пока не достигнет предела скорости, мне не под силу. Может быть, он пытается перебор пар имя пользователя / пароль? В любом случае, слишком глупо, слишком беспокоиться.

— 84104

2

В качестве теста я получаю эту строку только в своих журналах и никогда не вижу сбоев SASL, используя только Thunderbird и неверный пароль для известной учетной записи. Поскольку аутентифицированная почта всегда проходит через Postfix беспрепятственно, правильный ответ, если это возможно, состоит в том, чтобы использовать опубликованный скрипт fail2ban, чтобы свести к минимуму количество попыток перебора. Попытки перебора паролей - это то, что абсолютно необходимо для того, чтобы избежать превращения вашего ящика в открытое реле - особенно если это единственная строка в ваших журналах.

— CubicleSoft

Журналы выглядят так, будто он получает одну секунду, это может быть кто-то, кто пытается грубо заставить сервер, о чем стоит беспокоиться. Я рекомендую использовать fail2ban, как минимум. Это не полностью решит проблему грубой силы, но существенно уменьшит ее.

— Северун

21

Мои лог-файлы заполнялись, и это пустая трата процессора, чтобы разрешить соединение с этими рывками. Я создал fail2banправило.

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

Содержание /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

Содержание /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

— the7erm
источник

2

Это спасло мой день. Я добавил следующее правило: failregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$. У меня было много сотен таких попыток подключения за несколько минут. Я должен был что-то с этим сделать.

— chmike

Это немного более обобщенно:failregex = lost connection after AUTH from (.*)\[<HOST>\]

— CubicleSoft

@chmike: Точка перед окончанием $должна быть удалена. Не работал здесь с этим в регулярном выражении.

— cweiske

3

В smtpd_recipient_restrictionsпросто установить , reject_unknown_client_hostnameкак это:

smtpd_recipient_restrictions = reject_unknown_client_hostname

и это приведет к отклонению клиентов и бродячих или тупых зомби-ботов с неизвестными именами хостов. Ваши журналы будут выглядеть следующим образом:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]

— Мистер
источник

На этот (очень старый) вопрос уже есть принятый ответ.

— BE77Y

1

Неизвестное имя хоста было / не является проблемой. lost connection after AUTHбыло / есть.

— 84104

1

Их проблема: «Что здесь происходит, и я должен что-нибудь с этим сделать?» И это совершенно правильный ответ.

— неорганик

2

Я не уверен, стоит ли беспокоиться, в основном клиент / «кто-то» подключается, выдает AUTH и отключается по собственному желанию. Это может быть попытка проверить возможности сервера с помощью почтового клиента или попытка создать демон.

Пока у вас достаточно безопасности, это всего лишь очередной стук в дверь из мира.

— тонкий лед
источник

Даже если это происходит 3 или 4 раза подряд?

— Алексис Уилке