Connessione Postfix persa dopo AUTH

12

Guardando i registri sui miei server di posta, ho notato messaggi come i seguenti:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

Non ci sono errori SASL in questi casi. Ci sono errori SASL registrati in altre occasioni, ma mai con lost connection after AUTH.

Cosa sta succedendo qui, e dovrei fare qualcosa al riguardo?
Questi non sono MX e sono già stati smtpd_client_connection_rate_limitimpostati.

Possibilmente correlato:
i sistemi richiedono SMTPS o STARTTLS prima che venga annunciato AUTH.

postfix

— 84104
fonte

Puoi aumentare il livello di debug di postfix?

— Khaled,

Posso, ma questo aumenterà i file di registro a una velocità considerevolmente più elevata e questi eventi sono sporadici. Cosa contribuirà a chiarire questa maggiore registrazione?

— 84104

1

Quindi, è necessario aumentarlo per un breve periodo di tempo e quando si prevede di ottenere questo errore. Si spera che ciò fornisca ulteriori suggerimenti sul significato di questo errore.

— Khaled,

9

Questa è una botnet dalla Cina che si collega alla tua casella cercando di consegnare lo spam. Ma il bot è troppo stupido per sapere cosa fare quando gli viene detto di autenticarsi. Il bot smette solo di consegnare la posta e quindi si disconnette per attaccare la prossima vittima.

Assolutamente nulla di cui preoccuparsi.

— mailq
fonte

3

Abbastanza vicino. Sembra che sia una sorta di script che rilascia AUTH ed esce in modo impuro dopo averlo ricevuto 503 5.5.1 Error: authentication not enabled. È stato in grado di replicare con ncat. Anche se il motivo per cui continua a provare fino a quando non raggiunge il limite di velocità è oltre me. Forse sta cercando di forzare le coppie nome utente / password della forza? Ad ogni modo, troppo stupido, troppo preoccupato.

— 84104

2

Come test, ottengo solo questa riga nei miei registri e non vedo mai errori SASL solo usando Thunderbird e una password non valida per un account noto. Poiché la posta autenticata passa sempre attraverso Postfix senza impedimenti, la risposta corretta è, se possibile, utilizzare lo script fail2ban pubblicato per ridurre al minimo il numero di tentativi di forza bruta. I tentativi di password con forza bruta sono assolutamente preoccupanti per evitare di trasformare la tua scatola in un relè aperto, specialmente se questa è l'unica riga nei tuoi registri.

— CubicleSoft,

I registri sembrano averne uno al secondo, il che potrebbe essere qualcuno che cerca di forzare il server, che è qualcosa di cui preoccuparsi. Raccomando di usare fail2ban, come minimo. Non risolverà completamente un problema di forza bruta, ma lo mitigherà sostanzialmente.

— Severun,

21

I miei file di registro si stavano riempiendo, ed è uno spreco di CPU persino consentire una connessione da questi cretini. Ho creato una fail2banregola.

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

Contenuti di /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

Contenuti di /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

— the7erm
fonte

2

Questo mi ha salvato la giornata. Ho aggiunto la seguente regola: failregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$. Ho avuto molte centinaia di tentativi di connessione in pochi minuti. Ho dovuto fare qualcosa al riguardo.

— chmike,

Questo è un po 'più generico:failregex = lost connection after AUTH from (.*)\[<HOST>\]

— CubicleSoft,

@chmike: il punto prima della fine $deve essere rimosso. Non ha funzionato qui con esso nella regex.

— cweiske,

3

In smtpd_recipient_restrictionsappena impostato in reject_unknown_client_hostnamequesto modo:

smtpd_recipient_restrictions = reject_unknown_client_hostname

e ciò comporterà il rifiuto di client e robot zombi vaganti o stupidi con nomi host sconosciuti. I log appariranno così quando impostati:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]

— signore
fonte

C'è già una risposta accettata per questa (molto vecchia) domanda.

— BE77Y,

1

Il nome host sconosciuto era / non è il problema. lost connection after AUTHEra è.

— 84104

1

Il loro problema è "Cosa sta succedendo qui, e dovrei fare qualcosa al riguardo?" E questa è una risposta perfettamente valida.

— Inorganik,

2

Non sono sicuro che ci sia molto di cui preoccuparsi, fondamentalmente un cliente / "qualcuno" si sta connettendo, emette AUTH e si disconnette da solo. Potrebbe essere un tentativo di sondare le capacità del server da un client di posta o un tentativo di eseguire il case del demone.

Finché hai una sicurezza sufficiente sul posto, è solo un altro bussare alla porta del mondo.

— ghiaccio sottile
fonte

Anche se succede 3 o 4 volte di seguito?

— Alexis Wilke,