Meu servidor de correio do Postfix recebe tentativas de login de usuários desconhecidos (tentativa de força bruta) - o que fazer?

Question

Meu servidor de correio do Postfix recebe tentativas de login de usuários desconhecidos (tentativa de força bruta) - o que fazer?

#1 resposta do (0 votos)

0

Eu tenho um servidor de e-mail postfix + dovecot, hoje ao verificar meus logs, vejo tentativas de login de usuários desconhecidos / endereços ip, eu acho que isso tem que ser um ataque de força bruta.

Como eu poderia parar e eventualmente evitar isso?

Ajuda seria muito apreciada!

log:

Aug 24 15:36:34 mail dovecot: auth: passwd-file(zamudio,201.222.55.26): unknown user (SHA1 of given password: f72ac0)
Aug 24 15:36:36 mail postfix/smtpd[12568]: warning: unknown[201.222.55.26]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Aug 24 15:36:36 mail postfix/smtpd[12568]: disconnect from unknown[201.222.55.26] helo=1 auth=0/1 quit=1 commands=2/3
Aug 24 15:38:38 mail postfix/anvil[12413]: statistics: max connection rate 1/60s for (smtp:200.124.242.82) at Aug 24 15:30:49
Aug 24 15:38:38 mail postfix/anvil[12413]: statistics: max connection count 1 for (smtp:200.124.242.82) at Aug 24 15:30:49
Aug 24 15:38:38 mail postfix/anvil[12413]: statistics: max cache size 1 at Aug 24 15:30:49
Aug 24 15:39:34 mail postfix/smtpd[12571]: connect from unknown[190.117.185.251]
Aug 24 15:39:35 mail dovecot: auth: passwd-file(helene,190.117.185.251): unknown user (SHA1 of given password: cb4a0f)
Aug 24 15:39:37 mail postfix/smtpd[12571]: warning: unknown[190.117.185.251]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Aug 24 15:39:37 mail postfix/smtpd[12571]: disconnect from unknown[190.117.185.251] helo=1 auth=0/1 quit=1 commands=2/3
Aug 24 15:42:17 mail postfix/smtpd[12574]: connect from unknown[175.140.139.233]
Aug 24 15:42:18 mail dovecot: auth: passwd-file(payroll,175.140.139.233): unknown user (SHA1 of given password: 4de472)
Aug 24 15:42:20 mail postfix/smtpd[12574]: warning: unknown[175.140.139.233]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Aug 24 15:42:20 mail postfix/smtpd[12574]: disconnect from unknown[175.140.139.233] helo=1 auth=0/1 quit=1 commands=2/3

security ssl email postfix dovecot

por Edmond Tamas 24.08.2017 / 18:04

1 resposta

Tags security ssl email postfix dovecot

como ativar a camada de informações no syslog? O xclip do run-shell do Tmux não está funcionando

score 0 · Accepted Answer

Seu servidor está tentando usar como retransmissão aberta. Você precisa definir a opção smtpd_relay_restrictions . Por padrão, usa regras:

smtpd_relay_restrictions = permit_mynetworks,
                           permit_sasl_authenticated, 
                           defer_unauth_destination

O que significa que o relé aberto está fechado.

Como o seu servidor é público, você precisa ser humilde com as constantes tentativas dos robôs da Internet de enviar e-mails através do seu servidor.

Use senhas complexas
tome cuidado com a segurança do Postfix ( Postfix SASL , Post de suporte TLS )

Ou você pode bloquear outros ips e permitir somente ips / redes confiáveis se o seu servidor funcionar apenas como ambiente de teste