Я пытаюсь остановить атаку и логи с Ошибка аутентификации SASL LOGIN для моего почтового сервера. Тем не менее, я пытался в течение дня и до сих пор не могу этого добиться. Логи продолжают генерировать атаку с того же IP.
Машина
Сервер Linux 5.4.0-109-универсальный #123-Ubuntu SMP Пт, 8 апреля, 09:10:54 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux
Почта Вход /var/журнал/mail.log
28 апр 20:45:23 сервер postfix/smtpd[112579]: подключение от неизвестного[5.34.207.81]
28 апреля, 20:45:24 сервер postfix/smtpd[112409]: предупреждение: неизвестно[5.34.207.81]: сбой аутентификации SASL LOGIN: ошибка аутентификации
28 апр 20:45:25 сервер postfix/smtpd[112409]: отключиться от неизвестного[5.34.207.81] ehlo=1 auth=0/1 rset=1 quit=1 команды=3/4
28 апр 20:45:30 постфикс сервера/smtpd[112599]: подключение от неизвестного[5.34.207.81]
28 апреля, 20:45:31 сервер postfix/smtpd[112579]: предупреждение: неизвестно[5.34.207.81]: сбой аутентификации SASL LOGIN: ошибка аутентификации
28 апр 20:45:32 постфикс сервера/smtpd[112579]: отключение от неизвестного[5.34.207.81] ehlo=1 auth=0/1 rset=1 quit=1 команды=3/4
28 апр, 20:45:36 сервер postfix/smtpd[112409]: подключение от неизвестного[5.34.207.81]
28 апреля, 20:45:38 сервер postfix/smtpd[112599]: предупреждение: неизвестно[5.34.207.81]: сбой аутентификации SASL LOGIN: ошибка аутентификации
28 апр 20:45:38 сервер postfix/smtpd[112599]: отключиться от неизвестного[5.34.207.81] ehlo=1 auth=0/1 rset=1 quit=1 command=3/4
Fail2Ban с IPtables
/etc/fail2ban/jail.local
[постфикс-sasl]
включено = верно
порт = smtp, ssmtp, 465, отправка, imap, imaps, pop3, pop3s
бантайм = 10м
фильтр = постфикс-sasl
#action = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s", протокол=tcp]
путь к журналу = /var/log/mail.log
максимальное количество попыток = 15
Я сделал перезагрузка службы sudo fail2ban а проводная штука в том, что я не видел ни одной цепочки с f2b-постфикс.
То же самое сделал grep из фейл2бан логи и вот вывод:
Fail2Ban Авторизуется /var/log/fail2ban.log
2022-04-27 16:27:10,133 fail2ban.actions [567]: УВЕДОМЛЕНИЕ [postfix-sasl] Разбан 5.34.207.81
2022-04-27 16:27:45,391 fail2ban.actions [567]: УВЕДОМЛЕНИЕ [postfix-sasl] Бан 5.34.207.81
2022-04-27 16:32:17,801 fail2ban.actions [567]: УВЕДОМЛЕНИЕ [postfix-sasl] Разблокировать 212.70.149.72
2022-04-27 22:37:46,299 fail2ban.actions [567]: УВЕДОМЛЕНИЕ [postfix-sasl] Разбан 5.34.207.81
Fail2Ban с UFW
В моем исследовании я понял, что Fail2Ban может работать с UFW, поэтому я провел небольшое исследование и вот моя конфигурация:
/etc/fail2ban/jail.local
[постфикс-sasl]
включено = верно
журналматч =
бэкенд = опрос
bantime = -1 // Постоянный бан? Может быть
фильтр = постфикс-sasl
путь к журналу = /var/log/mail.log
максимальное количество попыток = 15
запрет = ufw
найти время = 120
Стоит отметить, что я ввел вручную sudo ufw вставить 1 Deny с 5.34.207.81 на любой с sudo ufw перезагрузить но, к сожалению, я все еще вижу атаку с того же IP в почтовых журналах /var/журнал/mail.log
Статус: активен
К действию от
-- ------ ----
Везде ЗАПРЕТИТЬ 212.70.149.72
Везде ЗАПРЕТИТЬ 5.34.207.81
Фильтр для обоих в Fail2Ban
/etc/fail2ban/filter.d/postfix-sasl.conf
[ВКЛЮЧАЕТ В СЕБЯ]
до = common.conf
[Определение]
_daemon = постфикс/smtpd
failregex = ^(.*)\[<HOST>\]: Ошибка аутентификации SASL (?:LOGIN|PLAIN): (.*)$
игнорироватьregex =
Ресурсы: Fail2ban с UFW
Благодарю, если кто-то может помочь мне с этим!
