O ponto é usado para terminar a mensagem de um email no protocolo SMTP: Uma linha vazia (CR, LF), seguida por ponto único e novamente uma nova linha com CR e LF. Mas este não é claramente o caso aqui.
Para descobrir se esses clientes SMTP são apenas botnets ou remetentes legítimos, você pode dar uma olhada no PTR de seus IPs, ambos estão registrados. Se o PTR é genérico de um provedor, algo como 192-0-2-1.broadband.customers.example.com
. Então você pode realmente ignorá-lo e usar o fail2ban para bloqueá-los.
O HELO deve corresponder ao PTR, pelo menos é a melhor prática. Mas se eles não são semelhantes, provavelmente é uma botnet.
No outro caso, alguém talvez esteja fazendo uma varredura em seu servidor e sondando protocolos e cifras TLS.
Para banir os clientes após tais solicitações, você pode usar o fail2ban, que bloqueia temporariamente um IP após muitas solicitações incorretas.
filter.d/postfix-syntax.conf
[INCLUDES]
before = common.conf
[Definition]
failregex = reject: RCPT from (.*)\[<HOST>\]: 502 5.5.2
reject: RCPT from (.*)\[<HOST>\]: 500 5.5.2
ignoreregex =
E adicione isso ao seu jail.conf
:
[postfix-syntax]
enabled = true
port = smtp,ssmtp,submission
filter = postfix-syntax
logpath = /var/log/mail.log
maxretry = 10