Моя проблема в том, что мой плохой сервер постоянно страдает от попыток отправки почты извне. Сотни попыток в час - вот одна из них из maillog
Aug 15 03:43:17 xxxxxxxx courier-pop3d: Connection, ip=[::ffff:212.142.140.236]
Aug 15 03:43:17 xxxxxxxx courier-authdaemon: authpsa: short mail addresses are not allowed, got 'radiomail'
Aug 15 03:43:17 xxxxxxxx courier-pop3d: LOGIN FAILED, user=radiomail, ip=[::ffff:212.142.140.236]
Aug 15 03:43:17 xxxxxxxx courier-pop3d: authentication error: Input/output error
Рассматриваемый IP указан как угроза на Spamhaus, но не на Barracuda, которым я пользуюсь. Я сообщил об этом Барракуде. К счастью, это не удается из-за «короткого адреса электронной почты». Я хочу остановить их от всех этих попыток. Я пробовал поместить IP в файл client_checks .. вот так
212.142.140.236 REJECT Your IP is spam
Затем я добавил такую строку в main.cf
smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/client_checks
результат - Без изменений
Я помещаю тест в неправильный раздел / пространство?
Заметил что есть client_restrictions и sender_restrictions .. вот они
smtpd_sender_restrictions = check_sender_access, hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated, check_client_access, pcre:/var/spool/postfix/plesk/non_auth.re
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client b.barracudacentral.org
Одна вещь, которую я заметил, - это запятая после check_client_access и check_sender_access .. это нормально?
Несколько моментов:
smtpd_client_restrictions является логичным местом для установки ограничений на основе IP-адреса, DNS RBL или аналогичного. Это не требует знания отправителя или получателя, но на практике Postfix не ОТКЛОНЯЕТ, пока отправляющий сервер не отправит оба из них.
Если вы используете hash: table, вы должны не забыть создать хеш-таблицу Postfix с postmap /etc/postfix/client_checks
Вы перечисляете строки журнала Courier, демона POP / IMAP. Postfix использует его для аутентификации? В противном случае вы можете вместо этого просмотреть строки журнала постфикса на предмет попыток спама.
Возможно, вы захотите изучить fail2ban для автоматической блокировки неудачных попыток POP, IMAP или SMTP. Люди написали фильтры для Courier и Postfix.
Что ж ... Я исследовал эту «атаку методом перебора» и решил проблему с этим конкретным IP (и другими), создав новое правило в моем брандмауэре. Теперь я могу запретить любой IP, который мне не нравится. Мой почтовый журнал теперь доступен для чтения и использования, прежде чем я не мог видеть лес за деревьями. Я вижу, что все мои действительные пользователи входят в систему, и я думаю о том, чтобы написать что-нибудь для извлечения всех действительных IP-адресов, а также иметь правило типа «разрешить только».