Мой mail.log переполнен случайными спамерами, пытающимися рассылать спам через мой сервер.
Это типично или я что-то неправильно сконфигурировал?
Есть ли способ заблокировать IP-адрес после нескольких попыток ретрансляции или есть способ не регистрировать эти попытки? (последнее может быть плохой идеей)
Как только они найдут IP-адрес, который отвечает на порт 25, они попробуют все возможное, чтобы передать через него или угадать действительные адреса электронной почты, на которые они могут доставить спам. Я не думаю, что вы захотите прекратить ведение журнала только на тот случай, если что-то произойдет, что вам позже понадобится диагностировать.
fail2ban и iptables --recent сократят количество записей в журнале за счет брандмауэра IP-адресов, которые пытаются подключиться несколько раз. У каждого есть «окно» возможностей для спамера, прежде чем его заблокируют. В этом случае лучше использовать fail2ban, так как он будет блокироваться на основе сообщений об ошибках. iptables --recent гораздо менее разборчив и может блокировать допустимые соединения, прошедшие порог.
Вы можете изменить конфигурацию системного журнала так, чтобы в почтовый журнал регистрировались только .info, а в отдельный файл .warn / .err.
Вы также можете установить эти параметры для postfix, чтобы отклонять соединения от мошеннических клиентов.
smtpd_error_sleep_time = 10s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20