Я заметил, что продолжаю получать доступ к мусору для моего postfix / smtpd в /var/log/mail.log Я вижу много повторов
May 2 11:09:04 mercury postfix/smtpd[25364]: warning: unknown[164.39.218.210]: SASL LOGIN authentication failed: Invalid authentication mechanism
May 2 11:09:04 mercury postfix/smtpd[25364]: lost connection after AUTH from unknown[164.39.218.210]
May 2 11:09:04 mercury postfix/smtpd[25364]: disconnect from unknown[164.39.218.210]
May 2 11:09:07 mercury postfix/smtpd[25408]: connect from unknown[185.234.216.121]
May 2 11:09:07 mercury postfix/smtpd[25408]: warning: unknown[185.234.216.121]: SASL LOGIN authentication failed: Invalid authentication mechanism
May 2 11:09:07 mercury postfix/smtpd[25408]: lost connection after AUTH from unknown[185.234.216.121]
May 2 11:09:07 mercury postfix/smtpd[25408]: disconnect from unknown[185.234.216.121]
May 2 11:09:09 mercury postfix/smtpd[25364]: connect from ticketmx.kinopark.am[212.34.242.82]
May 2 11:09:09 mercury postfix/smtpd[25408]: connect from unknown[185.234.216.195]
May 2 11:09:10 mercury postfix/smtpd[25408]: warning: unknown[185.234.216.195]: SASL LOGIN authentication failed: Invalid authentication mechanism
May 2 11:09:10 mercury postfix/smtpd[25364]: warning: ticketmx.kinopark.am[212.34.242.82]: SASL LOGIN authentication failed: Invalid authentication mechanism
May 2 11:09:10 mercury postfix/smtpd[25408]: lost connection after AUTH from unknown[185.234.216.195]
May 2 11:09:10 mercury postfix/smtpd[25408]: disconnect from unknown[185.234.216.195]
May 2 11:09:10 mercury postfix/smtpd[25364]: lost connection after AUTH from ticketmx.kinopark.am[212.34.242.82]
May 2 11:09:10 mercury postfix/smtpd[25364]: disconnect from ticketmx.kinopark.am[212.34.242.82]
May 2 11:09:12 mercury postfix/smtpd[25408]: connect from unknown[185.234.216.114]
Я думал, что просто забаню это ticketmx.kinopark.am в /etc/postfix/header_checks добавляя:
/^Received: .*\ticketmx.kinopark.am .*$/ REJECT Sorry, too much spam from kinopark.am
Я перезапустил postfix, но потом постоянно вижу этот хлам. Какие-либо предложения? Стоит ли мне искать что-то еще?
Спасибо
Ваши проверки заголовков ищут совпадения в заголовках электронного письма. Однако соединения, показанные в вашем журнале, никогда не доходят до отправки электронного письма. Они подключаются, пытаются аутентифицироваться, что не удается, а затем отключаются.
Лучшее, что вы, вероятно, можете сделать в этой ситуации, - это использовать что-то вроде fail2ban. Это позволит отслеживать в файле журнала ошибки аутентификации, а затем блокировать исходные IP-адреса с помощью правил брандмауэра, если с одних и тех же IP-адресов будет обнаружено слишком много сбоев.