Рейтинг:0

Постфикс: не удалось остановить атаку «Ошибка аутентификации SASL LOGIN» в почтовых журналах

флаг gr

Я пытаюсь остановить атаку и логи с Ошибка аутентификации SASL LOGIN для моего почтового сервера. Тем не менее, я пытался в течение дня и до сих пор не могу этого добиться. Логи продолжают генерировать атаку с того же IP.

Машина

Сервер Linux 5.4.0-109-универсальный #123-Ubuntu SMP Пт, 8 апреля, 09:10:54 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

Почта Вход /var/журнал/mail.log

28 апр 20:45:23 сервер postfix/smtpd[112579]: подключение от неизвестного[5.34.207.81]
28 апреля, 20:45:24 сервер postfix/smtpd[112409]: предупреждение: неизвестно[5.34.207.81]: сбой аутентификации SASL LOGIN: ошибка аутентификации
28 апр 20:45:25 сервер postfix/smtpd[112409]: отключиться от неизвестного[5.34.207.81] ehlo=1 auth=0/1 rset=1 quit=1 команды=3/4
28 апр 20:45:30 постфикс сервера/smtpd[112599]: подключение от неизвестного[5.34.207.81]
28 апреля, 20:45:31 сервер postfix/smtpd[112579]: предупреждение: неизвестно[5.34.207.81]: сбой аутентификации SASL LOGIN: ошибка аутентификации
28 апр 20:45:32 постфикс сервера/smtpd[112579]: отключение от неизвестного[5.34.207.81] ehlo=1 auth=0/1 rset=1 quit=1 команды=3/4
28 апр, 20:45:36 сервер postfix/smtpd[112409]: подключение от неизвестного[5.34.207.81]
28 апреля, 20:45:38 сервер postfix/smtpd[112599]: предупреждение: неизвестно[5.34.207.81]: сбой аутентификации SASL LOGIN: ошибка аутентификации
28 апр 20:45:38 сервер postfix/smtpd[112599]: отключиться от неизвестного[5.34.207.81] ehlo=1 auth=0/1 rset=1 quit=1 command=3/4

Fail2Ban с IPtables

/etc/fail2ban/jail.local

[постфикс-sasl]

включено = верно
порт = smtp, ssmtp, 465, отправка, imap, imaps, pop3, pop3s

бантайм = 10м
фильтр = постфикс-sasl
#action = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s", протокол=tcp]
путь к журналу = /var/log/mail.log
максимальное количество попыток = 15

Я сделал перезагрузка службы sudo fail2ban а проводная штука в том, что я не видел ни одной цепочки с f2b-постфикс.

То же самое сделал grep из фейл2бан логи и вот вывод:

Fail2Ban Авторизуется /var/log/fail2ban.log

2022-04-27 16:27:10,133 fail2ban.actions [567]: УВЕДОМЛЕНИЕ [postfix-sasl] Разбан 5.34.207.81
2022-04-27 16:27:45,391 fail2ban.actions [567]: УВЕДОМЛЕНИЕ [postfix-sasl] Бан 5.34.207.81
2022-04-27 16:32:17,801 fail2ban.actions [567]: УВЕДОМЛЕНИЕ [postfix-sasl] Разблокировать 212.70.149.72
2022-04-27 22:37:46,299 fail2ban.actions [567]: УВЕДОМЛЕНИЕ [postfix-sasl] Разбан 5.34.207.81

Fail2Ban с UFW

В моем исследовании я понял, что Fail2Ban может работать с UFW, поэтому я провел небольшое исследование и вот моя конфигурация:

/etc/fail2ban/jail.local

[постфикс-sasl]

включено = верно
журналматч =
бэкенд = опрос
bantime = -1 // Постоянный бан? Может быть 
фильтр = постфикс-sasl
путь к журналу = /var/log/mail.log
максимальное количество попыток = 15
запрет = ufw
найти время = 120

Стоит отметить, что я ввел вручную sudo ufw вставить 1 Deny с 5.34.207.81 на любой с sudo ufw перезагрузить но, к сожалению, я все еще вижу атаку с того же IP в почтовых журналах /var/журнал/mail.log

Статус: активен

К действию от
-- ------ ----
Везде ЗАПРЕТИТЬ 212.70.149.72             
Везде ЗАПРЕТИТЬ 5.34.207.81

Фильтр для обоих в Fail2Ban

/etc/fail2ban/filter.d/postfix-sasl.conf

[ВКЛЮЧАЕТ В СЕБЯ]
до = common.conf

[Определение]
_daemon = постфикс/smtpd
failregex = ^(.*)\[<HOST>\]: Ошибка аутентификации SASL (?:LOGIN|PLAIN): (.*)$
игнорироватьregex =

Ресурсы: Fail2ban с UFW

Благодарю, если кто-то может помочь мне с этим!

Рейтинг:0
флаг gr

Обновления

Наконец, мой Fail2Ban работает так, как ожидалось, и я отмечу это как ответ!

Решение состоит в том, чтобы установить действие равно iptables-мультипорт запретить несколько портов! Однако я не использую УФВ ограничить злоумышленника, потому что я понимаю УФВ всегда не включается во время загрузки из-за конфликтов с брандмауэр.

Решения

Добавьте эту строку в свой /etc/fail2ban/jail.local

action = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s"]

Это должно выглядеть примерно так:

[постфикс-sasl]

включено = верно
фильтр = постфикс-sasl
action = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s"]
путь к журналу = /var/log/mail.log
максимальное количество попыток = 15
бантайм = 12ч

Раньше я ставил максретри к 3 в целях тестирования. Возможно, вы захотите изменить его на более высокое значение. В противном случае ваш пользователь может быстро попасть в беду.

Проверить статус Fail2Ban

Стоит проверить свой джейл:

статус sudo fail2ban-сервера postfix-sasl

Вывод:

Статус для джейла: postfix-sasl
|- Фильтр
| |- В настоящее время не удалось: 2
| |- Всего неудачно: 49
| `- Список файлов: /var/log/mail.log
`- Действия
   |- В настоящее время забанено: 1
   |- Всего забанено: 3
   `- Список запрещенных IP-адресов: 5.34.207.81

Ресурсы: Fail2Ban не может установить правила Iptables:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.