Назад | Перейти на главную страницу

Постфикс: запреты fail2ban и iptables не останавливают соединения и попытки аутентификации

Я использую Ubuntu 16.04.6 LTS с Postfix 3.1.0 и fail2ban 0.9.3. В настоящее время мой /var/log/mail.log постоянно загрязняется такими попытками грубой силы:

postfix/submission/smtpd[2282]: connect from unknown[xxx.xxx.xxx.xxx]
postfix/submission/smtpd[2282]: warning: unknown[xxx.xxx.xxx.xxx]: SASL LOGIN authentication failed: authentication failure
postfix/submission/smtpd[2282]: disconnect from unknown[xxx.xxx.xxx.xxx] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4

Я пытался настроить /etc/fail2ban/jail.local так как:

[postfix]
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 3
bantime = 86400

[sasl]
enabled  = true
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3
bantime = 86400

Вроде нормально работает согласно /var/log/fail2ban.log:

fail2ban.filter   [2208]: INFO    [sasl] Found xxx.xxx.xxx.xxx
fail2ban.actions  [2208]: NOTICE  [sasl] xxx.xxx.xxx.xxx already banned

Но smtpd продолжает получать попытки аутентификации SASL.

Я тоже пробовал iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP на днях, но подключение и попытки аутентификации продолжаются, несмотря на явное DROP (iptables -L INPUT -v -n):

 pkts bytes target     prot opt in     out     source               destination
  416 2974K f2b-sasl   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 25,465,143,220,993,110,995
 1763  170K f2b-wordpress-soft  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
 1763  170K f2b-wordpress-hard  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
  416 2974K f2b-postfix  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 25,465
 1891  144K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22
33899 8794K ufw-before-logging-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
33899 8794K ufw-before-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  136  6931 ufw-after-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  113  5875 ufw-after-logging-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  113  5875 ufw-reject-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  113  5875 ufw-track-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  *      *       xxx.xxx.xxx.xxx      0.0.0.0/0

postfix fail2ban

Пробуем, конфиг порта, переименование ssmtp к smtps или 465 и добавление submission порт или 587 и перезапустите.

Также для действий в тюрьме вам понадобится smpts и submission порты

Подобно этому

iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission", protocol=tcp]