Koneksi postfix hilang setelah AUTH

12

Melihat log di server email saya, saya perhatikan pesan seperti berikut:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

Tidak ada kegagalan SASL dalam kasus ini. Ada kegagalan SASL dicatat di lain waktu, tetapi tidak pernah dengan lost connection after AUTH.

Apa yang terjadi di sini, dan apa yang harus saya lakukan?
Ini bukan MX, dan sudah smtpd_client_connection_rate_limitditetapkan.

Kemungkinan terkait:
Sistem membutuhkan SMTPS atau STARTTLS sebelum AUTH diumumkan.

postfix 84104
sumber
Bisakah Anda meningkatkan level debug postfix?
Khaled
Saya bisa, tetapi itu akan menumbuhkan file log pada tingkat yang jauh lebih tinggi, dan peristiwa ini bersifat sporadis. Apa yang akan meningkatkan penebangan ini membantu untuk ambigu?
84104
1
Jadi, Anda perlu meningkatkannya untuk jangka waktu kecil dan ketika Anda berharap untuk mendapatkan kesalahan ini. Semoga ini memberi lebih banyak petunjuk tentang apa arti kesalahan ini.
Khaled

Jawaban:

9

Ini adalah botnet dari Tiongkok yang terhubung ke kotak Anda yang mencoba mengirimkan Spam. Tetapi bot itu terlalu bodoh untuk tahu apa yang harus dilakukan ketika diminta untuk membuktikan keasliannya. Bot hanya berhenti mengirim email dan kemudian memutuskan sambungan untuk menyerang korban berikutnya.

Sama sekali tidak perlu khawatir.

mailq
sumber
3
Cukup dekat. Tampaknya itu semacam skrip yang mengeluarkan AUTH dan keluar dengan tidak jelas setelah menerima 503 5.5.1 Error: authentication not enabled. Mampu meniru dengan ncat. Meskipun mengapa terus mencoba sampai mencapai batas tingkat di luar saya. Mungkin ini mencoba untuk memaksa pasangan nama pengguna / kata sandi? Either way, terlalu bodoh juga khawatir tentang.
84104
2
Sebagai ujian, saya hanya mendapatkan baris ini di log saya dan tidak pernah melihat kegagalan SASL hanya menggunakan Thunderbird dan kata sandi yang tidak valid untuk akun yang diketahui. Karena surat terautentikasi selalu melewati Postfix tanpa halangan, jawaban yang benar adalah, jika mungkin, untuk menggunakan skrip fail2ban yang diposting untuk menjaga jumlah upaya brute force seminimal mungkin. Upaya brute force password adalah sesuatu yang harus benar-benar diperhatikan untuk menghindari mengubah kotak Anda menjadi relay terbuka - terutama jika ini adalah satu-satunya baris dalam log Anda.
CubicleSoft
Log terlihat seperti dia mendapatkan satu detik, yang bisa menjadi seseorang yang mencoba memaksa server, yang ADALAH sesuatu yang perlu dikhawatirkan. Saya sarankan menggunakan fail2ban, minimal. Itu tidak akan sepenuhnya menyelesaikan masalah brute force, tetapi secara substansial akan mengurangi itu.
Severun
21

File log saya semakin terisi, dan itu adalah buang-buang cpu bahkan untuk memungkinkan koneksi dari tersentak ini. Saya membuat fail2banaturan.

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

Isi dari /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

Isi dari /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
the7erm
sumber
2
Ini menyelamatkan hari saya. Saya menambahkan aturan berikut: failregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$. Saya memiliki ratusan upaya koneksi seperti itu dalam beberapa menit. Saya harus melakukan sesuatu.
chmike
Ini sedikit lebih umum:failregex = lost connection after AUTH from (.*)\[<HOST>\]
CubicleSoft
@ chmike: Titik sebelum akhir $harus dihapus. Tidak bekerja di sini dengannya di regex.
cweiske
3

Di smtpd_recipient_restrictionsatur reject_unknown_client_hostnameseperti ini:

smtpd_recipient_restrictions = reject_unknown_client_hostname

dan ini akan menghasilkan penolakan klien dan bot zombie liar atau bodoh dengan nama host yang tidak dikenal. Log Anda akan terlihat seperti ini ketika disetel:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]
Tuan
sumber
Sudah ada jawaban yang diterima untuk pertanyaan ini (sangat lama).
BE77Y
1
Nama host yang tidak dikenal adalah / bukan masalahnya. lost connection after AUTHtadinya.
84104
1
Masalah mereka adalah "Apa yang terjadi di sini, dan apa yang harus saya lakukan?" Dan ini adalah jawaban yang benar-benar valid.
inorganik
2

Saya tidak yakin jika ada banyak yang perlu dikhawatirkan, pada dasarnya klien / 'seseorang' sedang terhubung, mengeluarkan AUTH dan memutuskan hubungan dengan keinginan mereka sendiri. Ini bisa berupa upaya untuk menyelidiki kemampuan server dari klien email - atau upaya untuk membuat case daemon.

Selama Anda memiliki keamanan yang cukup di tempat itu hanya ketukan di pintu dari dunia.

es tipis
sumber
Bahkan jika itu terjadi 3 atau 4 kali berturut-turut?
Alexis Wilke