Olhando para os logs nos meus servidores de e-mail, notei mensagens como as seguintes:
Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]
Não há falhas no SASL nesses casos. Há falhas no SASL que são registradas em outros momentos, mas nunca com lost connection after AUTH .
O que está acontecendo aqui e devo fazer algo sobre isso?
Estes não são MXs e já possuem smtpd_client_connection_rate_limit set.
Possivelmente relacionado:
Os sistemas requerem SMTPS ou STARTTLS antes que o AUTH seja anunciado.
Este é um botnet da China que se conecta à sua caixa tentando entregar o Spam. Mas o bot é burro demais para saber o que fazer quando é ordenado para se autenticar. O bot simplesmente para de entregar e-mails e depois se desconecta para atacar a próxima vítima.
Absolutamente nada para se preocupar.
Meus arquivos de log estavam sendo preenchidos, e é um desperdício de cpu até mesmo permitir uma conexão desses idiotas. Eu criei uma regra fail2ban .
Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]
Conteúdo de /etc/fail2ban/jail.conf
[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log
maxretry = 6
bantime = 600
findtime = 600
Conteúdo de /etc/fail2ban/filter.d/postfix.conf
# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]
failregex = lost connection after AUTH from unknown\[<HOST>\]
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Não tenho certeza se há muito com o que se preocupar, basicamente um cliente / 'alguém' está se conectando, emitindo AUTH e desconectando-se por conta própria. Pode ser uma tentativa de investigar os recursos do servidor a partir de um cliente de email - ou uma tentativa de avaliar o daemon.
Desde que você tenha segurança suficiente, é apenas mais uma batida na porta do mundo.
Em smtpd_recipient_restrictions , basta definir reject_unknown_client_hostname da seguinte forma:
smtpd_recipient_restrictions = reject_unknown_client_hostname
e isso resultará na rejeição de clientes e bots de zumbis perdidos ou idiotas com nomes de host desconhecidos. Seus registros ficarão assim quando definidos:
postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]
Tags postfix