AUTH 후 접미사 연결이 끊어짐

12

메일 서버의 로그를 보면 다음과 같은 메시지가 나타났습니다.

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

이 경우 SASL 실패가 없습니다. SASL 실패는 다른 시간에 기록되지만 결코로 기록되지 않습니다 lost connection after AUTH.

여기서 무슨 일이 일어나고 있으며 그것에 대해 어떻게해야합니까?
이들은 MX가 아니며 이미 smtpd_client_connection_rate_limit설정되어 있습니다.

관련 :
AUTH가 발표되기 전에 시스템에 SMTPS 또는 STARTTLS가 필요합니다.

postfix

— 84104
소스

postfix의 디버그 레벨을 높일 수 있습니까?

— Khaled

할 수는 있지만 로그 파일이 상당히 빠른 속도로 증가 할 것이며 이러한 이벤트는 산발적입니다. 이렇게 증가 된 로깅은 명확성을 높이는 데 무엇이 도움이됩니까?

— 84104

1

따라서 짧은 시간 동안이 오류가 발생할 것으로 예상 할 때이를 늘려야합니다. 이것은이 오류의 의미에 대한 더 많은 힌트를 제공하기를 바랍니다.

— Khaled

9

스팸을 전달하려는 상자에 연결하는 중국의 봇넷입니다. 그러나 봇은 자신을 인증하라는 지시를받을 때해야 할 일을 알기에는 너무 어리 석습니다. 봇은 메일 전송을 중단하고 다음 피해자를 공격하기 위해 연결을 끊습니다.

걱정할 것은 없습니다.

— mailq
소스

3

충분히 가까이 AUTH를 발행하고 수신 후 부정하게 종료되는 일종의 스크립트 인 것 같습니다 503 5.5.1 Error: authentication not enabled. ncat으로 복제 할 수있었습니다. 속도 제한에 도달 할 때까지 왜 계속 노력하고 있습니까? 어쩌면 강제로 사용자 이름 / 비밀번호 쌍을 무력화하려고합니까? 어느 쪽이든, 너무 멍청한 것도 걱정합니다.

— 84104

2

테스트로, 나는이 줄을 내 로그에만 표시하고 Thunderbird를 사용하는 SASL 오류와 알려진 계정에 대해 유효하지 않은 비밀번호를 확인하지 않습니다. 인증 된 메일은 항상 Postfix를 방해받지 않고 통과하므로 가능한 경우 게시 된 fail2ban 스크립트를 사용하여 무차별 대입 시도 횟수를 최소로 유지하는 것이 정답입니다. 무차별 암호 시도는 상자를 열린 릴레이로 바꾸지 않도록 특히 염려해야 할 사항입니다. 특히 로그에 유일한 줄이있는 경우에 그러합니다.

— CubicleSoft

로그는 그가 1 초를 얻는 것처럼 보이며, 누군가가 서버를 무차별 적으로 공격하려고 할 수 있습니다. 최소한 fail2ban을 사용하는 것이 좋습니다. 무차별 대입 문제를 완전히 해결하지는 못하지만 실질적으로 완화시킬 것입니다.

— Severun

21

내 로그 파일이 가득 차서이 바보들과의 연결을 허용하는 CPU 낭비입니다. fail2ban규칙을 만들었습니다 .

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

내용 /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

내용 /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

— the7erm
소스

2

이것은 나의 하루를 구했다. 다음 규칙을 추가했습니다 failregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$. 몇 분 안에 수백 건의 연결 시도가있었습니다. 나는 그것에 대해 뭔가를해야했습니다.

— chmike

이것은 좀 더 일반적인 것입니다 :failregex = lost connection after AUTH from (.*)\[<HOST>\]

— CubicleSoft

@chmike : 엔딩 앞의 점을 $제거해야합니다. 정규식에서 여기에서 작동하지 않았습니다.

— cweiske

3

다음 과 같이 smtpd_recipient_restrictions설정 reject_unknown_client_hostname하십시오.

smtpd_recipient_restrictions = reject_unknown_client_hostname

이로 인해 클라이언트가 거부되고 알 수없는 호스트 이름으로 좀비 봇이나 멍청한 좀비 봇이 거부됩니다. 설정하면 로그는 다음과 같습니다.

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]

— 선생
소스

이 (매우 오래된) 질문에 대해 이미 받아 들여진 대답이 있습니다.

— BE77Y

1

알 수없는 호스트 이름이 문제가 아닙니다. lost connection after AUTH이었다.

— 84104

1

그들의 문제는 "여기서 무슨 일이 일어나고 있는지, 내가해야 할 일이 있습니까?"입니다. 그리고 이것은 완벽하게 유효한 대답입니다.

— inorganik

2

걱정해야 할 것이 많지 않은지 확실하지 않습니다. 기본적으로 클라이언트 / '누군가'가 연결하고 AUTH를 발행하고 자체 계약에 따라 연결을 끊습니다. 메일 클라이언트에서 서버 기능을 조사하려는 시도이거나 데몬을 케이스하려는 시도 일 수 있습니다.

충분한 보안이 유지되는 한 세상에서 또 다른 문을 두드리는 것입니다.

— 세속
소스

연속으로 3-4 회 발생하더라도?

— Alexis Wilke