web-dev-qa-db-fra.com

Connexion Postfix perdu après AUTH

En regardant les journaux sur mes messagers, j'ai remarqué des messages comme ce qui suit:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

Il n'y a pas d'échec SASL dans ces cas. Il y a des échecs SASL sont connectés à d'autres moments, mais jamais avec lost connection after AUTH.

Que se passe-t-il ici, et devrais-je en faire?
Ce ne sont pas des MXS et ont déjà smtpd_client_connection_rate_limit ensemble.

Éventuellement associé:
[.____] Les systèmes nécessitent des SMTPS ou des démarrages avant l'annonce de l'autorité.

postfix
12
84104

Ceci est un botnet de la Chine qui se connecte à votre boîte essaye de livrer le spam. Mais le bot est trop stupide pour savoir quoi faire lorsqu'on on dit de s'authentifier. Le bot arrête simplement de livrer le courrier puis de se déconnecter pour attaquer la prochaine victime.

Absolument rien à craindre.

9
mailq

Mes fichiers journaux étaient remplis et c'est un gaspillage de CPU pour permettre même une connexion de ces secousses. J'ai créé un fail2ban régner.

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

Contenu de /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

Contenu de /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          Host must be matched by a group named "Host". The tag "<Host>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<Host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<Host>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
21
the7erm

Dans smtpd_recipient_restrictions juste définir reject_unknown_client_hostname comme ça:

smtpd_recipient_restrictions = reject_unknown_client_hostname

et cela entraînera de rejeter les clients et des robots zombies errants ou muettes avec des noms d'hôtes inconnus. Vous allez ressembler à ceci lors de la définition:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client Host rejected: cannot find your hostname, [183.13.165.14]
3
Mister

Je ne sais pas s'il y a beaucoup à craindre, fondamentalement, un client/"quelqu'un" se connecte, émetteur authentifiant et déconnecte de leur propre chef. Cela pourrait être une tentative de recherche de capacités de serveur d'un client de messagerie - ou d'une tentative de casse le démon.

Tant que vous avez une sécurité suffisante en place, c'est juste un autre coup sur la porte du monde.

2
thinice