AUTH後にPostfix接続が失われました

12

メールサーバーのログを確認すると、次のようなメッセージが表示されています。

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

これらの場合、SASL障害はありません。SASLの失敗がログに記録されることもありますが、では記録されませんlost connection after AUTH。

ここで何が起こっていますか、それについて何かする必要がありますか？
これらはMXではなく、すでにsmtpd_client_connection_rate_limit設定されています。

おそらく関連：
システムは、AUTHがアナウンスされる前にSMTPSまたはSTARTTLSのいずれかを必要とします。

postfix

— 84104
ソース

postfixのデバッグレベルを上げることができますか？

— ハレド

できますが、これによりログファイルがかなりの割合で増加し、これらのイベントは散発的です。この増加したロギングは曖昧さをなくすのに何が役立ちますか？

— 84104

1

したがって、少しの間、このエラーが発生すると予想される場合は、値を増やす必要があります。これにより、このエラーの意味についてより多くのヒントが得られると期待しています。

— ハレド

9

これは、スパムを配信しようとするボックスに接続している中国のボットネットです。しかし、ボットは愚かすぎて、自分自身を認証するように指示されたときに何をすべきかを知ることができません。ボットはメールの配信を停止し、次の被害者を攻撃するために切断します。

まったく心配する必要はありません。

— mailq
ソース

3

十分近い。AUTHを発行し、を受け取っ503 5.5.1 Error: authentication not enabledた後、正常に終了しないのは、ある種のスクリプトのようです。ncatで複製できました。レート制限に達するまで試行し続ける理由は私を超えています。たぶんそれはユーザー名/パスワードのペアをブルートフォースにしようとしているのでしょうか？どちらにしても、あまりにも愚かすぎるのではないかと心配しています。

— 84104 2011

2

テストとして、私はログにこの行のみを取得し、Thunderbirdと既知のアカウントの無効なパスワードを使用するだけでSASLの失敗を確認しません。認証されたメールは常に妨げられることなくPostfixを通過するため、可能であれば、投稿されたfail2banスクリプトを使用してブルートフォースの試行回数を最小限に抑えることが正解です。ブルートフォースパスワードの試行は、ボックスがオープンリレーに変わらないようにすることを絶対に心配する必要があります。これがログの唯一の行である場合は特にそうです。

— CubicleSoft 2016年

ログは、彼が1秒に1回取得しているように見えます。これは、サーバーをブルートフォースで攻撃しようとしている誰かである可能性があり、これは心配する必要があります。少なくともfail2banを使用することをお勧めします。それはブルートフォースの問題を完全には解決しませんが、それを大幅に軽減します。

— Severun

21

ログファイルがいっぱいになり、これらのジャークからの接続を許可することさえcpuの無駄です。fail2banルールを作成しました。

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

の内容 /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

の内容 /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

— the7erm
ソース

2

これは私の日を救った。次のルールを追加しましたfailregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$。私は数分で何百ものそのような接続を試みました。私はそれについて何かしなければなりませんでした。

— chmike 2016

これはもう少し一般的です：failregex = lost connection after AUTH from (.*)\[<HOST>\]

— CubicleSoft

@chmike：エンディングの前のドットは$削除する必要があります。ここでは正規表現で動作しませんでした。

— cweiske 2017

3

でsmtpd_recipient_restrictionsちょうどセットreject_unknown_client_hostname、このように：

smtpd_recipient_restrictions = reject_unknown_client_hostname

これにより、クライアントが拒否され、ホスト名が不明なゾンビボットが迷子になったり、ばかになったりします。設定すると、ログは次のようになります。

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]

— ミスター
ソース

この（非常に古い）質問に対する回答は既に受け入れられています。

— BE77Y 2015年

1

不明なホスト名が問題でした。lost connection after AUTHあった/である。

— 84104

1

彼らの問題は「ここで何が起こっているのか、そして私はそれについて何をすべきか？」です。そして、これは完全に有効な答えです。

— inorganik

2

心配すべきことがたくさんあるかどうかはわかりませんが、基本的にはクライアント/「誰か」が接続し、AUTHを発行し、自分で切断しています。これは、メールクライアントからサーバー機能を調査する試み、またはデーモンを実行する試みである可能性があります。

あなたが十分なセキュリティを備えている限り、それは世界からのドアのもう一つのノックです。

— 薄い氷
ソース

それが3回または4回続けて起こっても？

— Alexis Wilke