smtpd_client_restrictions ou smtpd_recipient_restrictions no Postfix?

1

Meu problema é que meu servidor ruim está constantemente sofrendo de tentativas de enviar e-mails de ameaças externas. Existem centenas de tentativas por hora - aqui é uma delas do maillog

Aug 15 03:43:17 xxxxxxxx courier-pop3d: Connection, ip=[::ffff:212.142.140.236]
Aug 15 03:43:17 xxxxxxxx courier-authdaemon: authpsa: short mail addresses are not allowed, got 'radiomail'
Aug 15 03:43:17 xxxxxxxx courier-pop3d: LOGIN FAILED, user=radiomail, ip=[::ffff:212.142.140.236]
Aug 15 03:43:17 xxxxxxxx courier-pop3d: authentication error: Input/output error

O IP em questão está listado como uma ameaça na Spamhaus, mas não no Barracuda, que é o que eu uso. Eu relatei isso a Barracuda. Felizmente está falhando por causa do 'endereço de e-mail curto'. Eu quero impedi-los de todas essas tentativas. Eu tentei colocar o IP em um arquivo client_checks .. assim

212.142.140.236 REJECT Your IP is spam

Então eu adicionei uma linha no main.cf assim

smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/client_checks

result - No Change

Estou colocando o teste na seção / espaço errado?

Eu notei que há um client_restrictions e um sender_restrictions .. aqui estão eles

smtpd_sender_restrictions = check_sender_access, hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated, check_client_access, pcre:/var/spool/postfix/plesk/non_auth.re
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client b.barracudacentral.org

Uma coisa que eu encontrei é uma vírgula depois de check_client_access e check_sender_access .. está tudo bem?

    
por blackcapsteve 15.08.2017 / 21:00

2 respostas

1

Alguns pontos:

  1. smtpd_client_restrictions é o local lógico para colocar restrições com base no endereço IP, DNS RBL ou similar. Ele não requer conhecimento de remetente ou destinatário, mas, na prática, o Postfix não REJEITA até que o servidor de envio tenha enviado os dois.

  2. Se você usa uma tabela hash: , lembre-se de criar a tabela de hash do Postfix, com postmap /etc/postfix/client_checks

  3. Você lista linhas de registro do Courier, um daemon POP / IMAP. O Postfix está usando para autenticação? Caso contrário, talvez você queira examinar as linhas de log do postfix em busca de spam.

  4. Você pode querer investigar o fail2ban quanto a tentativas de firewall, POP, IMAP ou SMTP que falharam automaticamente. As pessoas escreveram filtros para Courier e Postfix.

por 20.08.2017 / 20:04
0

Bem .. Eu tenho pesquisado esse 'ataque de força bruta' e resolvi o problema com esse IP em particular (e outros) criando uma nova regra no meu firewall. Agora posso negar qualquer IP que eu não gosto .. Meu maillog agora está legível e utilizável, antes que eu não pudesse ver a madeira para as árvores. Eu posso ver todos os meus usuários válidos fazendo o login e estou pensando em escrever algo para extrair todos os endereços IP válidos e ter uma regra de tipo 'permitir somente' também.

    
por 16.08.2017 / 12:31

Tags