В своих журналах Logwatch я обнаружил 3 строки, которые мне кажутся странными, я предполагаю, что это попытки взлома.
IMAP подключается из @ [:: ffff: 121.183.126.37] ОТЛАДКА: подключение, ip = [:: ffff: 5.102.221.2]: 6 Время (с)
Адрес 121.183.126.37 - это корейский IP, а не наш, и, вероятно, злоумышленник. Другой адрес, 5.102.221.2, - это наш IP. У меня есть еще 3 похожие линии с тем же корейским IP, но с другим IP наших клиентов.
IMAP-соединение из @ [:: ffff: 2.187.25.14] checkmailpasswd: FAILED: admin - короткие имена не разрешены из @ [:: ffff: 2.187.25.14] DEBUG: Connection, ip = [:: ffff: 5.102.221.2]: 1 раз (а)
На этот раз IP-адрес источника 2.187.25.14 от иранского регистратора и IP-адрес нашего клиента 5.102.221.2.
IMAP подключается из @ [:: ffff: 2.187.25.14] checkmailpasswd: FAILED: admin - короткие имена не разрешены от @ [::ffff:2.187.25.14 ]IMAP подключаются из @ [:: ffff: 5.102.221.2] ИНФОРМАЦИЯ: ВХОД , user=user@domain.com, ip = [:: ffff: 5.102.221.2]: 1 раз (а)
Я изменил использование на user@domain.com.
Может ли кто-нибудь помочь мне понять это? Я понимаю, что кто-то пытается нас подобрать, но как наш IP-адрес участвует в этом?
Первая пара строк - это удаленные соединения, пытающиеся провести атаку методом перебора (все с явно удаленными IP-адресами).
Есть ли на вашем почтовом сервере интерфейс веб-почты? Если вы это сделаете, подключения из веб-почты будут отображаться с локального IP-адреса. Последний вход, который исходит из вашего IP-адреса и использует формат user @ domain, вероятно, кто-то входит в веб-почту и ошибается в пароле.
(Отредактировано в ответ на ваш комментарий)
В ваших лог-файлах отображается IP-адрес подключения и IP-адрес, к которому выполняется подключение. Вот почему есть «атакующий ip» и «ваш ip». Насколько я могу судить, это нормальный синтаксис логирования для postfix.