Mất kết nối postfix sau AUTH

12

Nhìn vào nhật ký trên máy chủ của tôi, tôi nhận thấy các thông báo như sau:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

Không có thất bại SASL trong những trường hợp này. Có những thất bại của SASL được ghi lại vào thời điểm khác, nhưng không bao giờ với lost connection after AUTH.

Điều gì đang xảy ra ở đây, và tôi có nên làm gì về nó không?
Đây không phải là MX và đã được smtpd_client_connection_rate_limitthiết lập.

Có thể liên quan:
Các hệ thống yêu cầu hoặc SMTPS hoặc STARTTLS trước khi AUTH được công bố.

postfix

— 84104
nguồn

Bạn có thể tăng mức độ gỡ lỗi của postfix không?

— Khaled

Tôi có thể, nhưng điều đó sẽ phát triển các tệp nhật ký với tốc độ cao hơn đáng kể và những sự kiện này diễn ra không thường xuyên. Điều này sẽ làm tăng đăng nhập giúp định hướng?

— 84104

1

Vì vậy, bạn cần tăng nó trong một khoảng thời gian nhỏ và khi bạn dự kiến sẽ gặp lỗi này. Điều này hy vọng sẽ đưa ra nhiều gợi ý hơn về ý nghĩa của lỗi này.

— Khaled

9

Đây là một mạng botnet từ Trung Quốc kết nối với hộp của bạn đang cố gắng gửi Spam. Nhưng bot quá ngu ngốc để biết phải làm gì khi được yêu cầu xác thực chính nó. Bot chỉ dừng việc gửi thư và sau đó ngắt kết nối để tấn công nạn nhân tiếp theo.

Hoàn toàn không có gì phải lo lắng.

— mailq
nguồn

3

Đủ gần. Có vẻ như đó là một loại kịch bản phát hành AUTH và thoát ra không sạch sẽ sau khi nhận được 503 5.5.1 Error: authentication not enabled. Đã có thể nhân rộng với ncat. Mặc dù tại sao nó tiếp tục cố gắng cho đến khi nó đạt đến giới hạn tỷ lệ là ngoài tôi. Có lẽ nó đang cố gắng vũ phu các cặp tên người dùng / mật khẩu? Dù bằng cách nào, quá ngu ngốc quá lo lắng về.

— 84104

2

Khi thử nghiệm, tôi chỉ nhận được dòng này trong nhật ký của mình và không bao giờ thấy bất kỳ lỗi nào của SASL khi chỉ sử dụng Thunderbird và mật khẩu không hợp lệ cho một tài khoản đã biết. Vì thư được xác thực luôn đi qua Postfix mà không bị cản trở, nên câu trả lời chính xác là, nếu có thể, sử dụng tập lệnh fail2ban được đăng để giữ cho số lần thử vũ lực ở mức tối thiểu. Nỗ lực mật khẩu mạnh mẽ là điều cần hoàn toàn quan tâm để tránh biến hộp của bạn thành một rơle mở - đặc biệt nếu đây là dòng duy nhất trong nhật ký của bạn.

— CubicleSoft

Nhật ký trông giống như anh ta nhận được một giây, có thể là ai đó đang cố gắng ép buộc máy chủ, đó là điều đáng lo ngại. Tôi khuyên bạn nên sử dụng fail2ban, ở mức tối thiểu. Nó sẽ không hoàn toàn giải quyết một vấn đề vũ phu, nhưng về cơ bản nó sẽ giảm thiểu nó.

— Severun

21

Các tệp nhật ký của tôi đã bị lấp đầy và thật lãng phí cpu để thậm chí cho phép kết nối từ những cú giật này. Tôi đã tạo ra một fail2banquy tắc.

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

Nội dung của /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

Nội dung của /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

— the7erm
nguồn

2

Điều này đã cứu ngày của tôi. Tôi đã thêm quy tắc sau : failregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$. Tôi đã có hàng trăm lần thử kết nối như vậy trong vài phút. Tôi đã phải làm một cái gì đó về nó.

— chmike 15/2/2016

Đây là một chút chung chung hơn:failregex = lost connection after AUTH from (.*)\[<HOST>\]

— CubicleSoft

@chmike: Dấu chấm trước khi kết thúc $phải được loại bỏ. Không làm việc ở đây với nó trong regex.

— cweiske

3

Trong smtpd_recipient_restrictionschỉ cần thiết lập reject_unknown_client_hostnamenhư thế này:

smtpd_recipient_restrictions = reject_unknown_client_hostname

và điều này sẽ dẫn đến việc từ chối các máy khách và các bot zombie đi lạc hoặc câm với tên máy chủ không xác định. Nhật ký của bạn sẽ trông như thế này khi được đặt:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]

— quí ông
nguồn

Đã có một câu trả lời được chấp nhận cho câu hỏi (rất cũ) này.

— BE77Y

1

Tên máy chủ không xác định là / không phải là vấn đề. lost connection after AUTHđã / là.

— 84104

1

Vấn đề của họ là "Chuyện gì đang xảy ra ở đây, và tôi có nên làm gì với nó không?" Và đây là một câu trả lời hoàn toàn hợp lệ.

— inorganik

2

Tôi không chắc có nhiều điều phải lo lắng hay không, về cơ bản, một khách hàng / 'ai đó' đang kết nối, phát hành AUTH và ngắt kết nối theo cách riêng của họ. Nó có thể là một nỗ lực để thăm dò các khả năng của máy chủ từ một ứng dụng thư - hoặc một nỗ lực để xử lý daemon.

Miễn là bạn có đủ an ninh tại chỗ, đó chỉ là một tiếng gõ cửa từ thế giới.

— mỏng
nguồn

Ngay cả khi nó xảy ra 3 hoặc 4 lần liên tiếp?

— Alexis Wilke