Postfix-Verbindung nach AUTH unterbrochen

12

Beim Betrachten der Protokolle auf meinen Mailservern habe ich folgende Meldungen festgestellt:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

In diesen Fällen treten keine SASL-Fehler auf. Es gibt SASL-Fehler, die zu anderen Zeiten protokolliert werden, jedoch niemals mit lost connection after AUTH.

Was passiert hier und sollte ich etwas dagegen tun?
Dies sind keine MXs und bereits smtpd_client_connection_rate_limiteingestellt.

Möglicherweise verwandt:
Die Systeme benötigen entweder SMTPS oder STARTTLS, bevor AUTH angekündigt wird.

postfix 84104
quelle
Können Sie die Debug-Stufe von Postfix erhöhen?
Khaled
Ich kann, aber das wird die Protokolldateien mit einer erheblich höheren Geschwindigkeit vergrößern, und diese Ereignisse sind sporadisch. Was hilft diese erhöhte Protokollierung bei der Disambiguierung?
84104
1
Sie müssen es also für einen kurzen Zeitraum erhöhen und wenn Sie diesen Fehler erwarten. Dies gibt hoffentlich weitere Hinweise darauf, was dieser Fehler bedeutet.
Khaled

Antworten:

9

Dies ist ein Botnetz aus China, das eine Verbindung zu Ihrer Box herstellt und versucht, Spam zu versenden. Aber der Bot ist zu dumm, um zu wissen, was zu tun ist, wenn er aufgefordert wird, sich zu authentifizieren. Der Bot stellt die Zustellung von E-Mails einfach ein und trennt die Verbindung, um das nächste Opfer anzugreifen.

Absolut kein Grund zur Sorge.

mailq
quelle
3
Nahe genug. Es scheint, dass es sich um eine Art Skript handelt, das AUTH ausgibt und nach dem Empfang unrein beendet wird 503 5.5.1 Error: authentication not enabled. Konnte mit ncat replizieren. Aber warum es so lange versucht, bis es das Ratenlimit erreicht, ist mir ein Rätsel. Vielleicht wird versucht, Benutzername / Passwort-Paare brutal zu erzwingen? So oder so, zu dumm, um sich Sorgen zu machen.
84104
2
Als Test erhalte ich nur diese Zeile in meinen Protokollen und sehe keine SASL-Fehler, wenn ich nur Thunderbird und ein ungültiges Kennwort für ein bekanntes Konto verwende. Da authentifizierte E-Mails Postfix immer ungehindert durchlaufen, besteht die richtige Antwort darin, wenn möglich das veröffentlichte Fail2Ban-Skript zu verwenden, um die Anzahl der Brute-Force-Versuche auf ein Minimum zu beschränken. Brute-Force-Passwortversuche sind unbedingt zu befürchten, um zu vermeiden, dass Ihre Box zu einem offenen Relais wird - insbesondere, wenn dies die einzige Zeile in Ihren Protokollen ist.
CubicleSoft
Die Protokolle sehen so aus, als würde er eine pro Sekunde bekommen. Dies könnte jemand sein, der versucht, den Server brutal zu erzwingen, worüber man sich Sorgen machen muss. Ich empfehle mindestens die Verwendung von fail2ban. Es wird ein Brute-Force-Problem nicht vollständig lösen, aber es wird es erheblich mildern.
Severun
21

Meine Protokolldateien wurden voll, und es ist eine Verschwendung von CPU, sogar eine Verbindung von diesen Idioten zuzulassen. Ich habe eine fail2banRegel erstellt.

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

Inhalt von /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

Inhalt von /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
the7erm
quelle
2
Das hat mir den Tag gerettet. Ich habe folgende Regel hinzugefügt : failregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$. Ich hatte in wenigen Minuten viele hundert solcher Verbindungsversuche. Ich musste etwas dagegen tun.
Chmike
Dies ist ein bisschen allgemeiner:failregex = lost connection after AUTH from (.*)\[<HOST>\]
CubicleSoft
@chmike: Der Punkt vor dem Ende $muss entfernt werden. Hat hier im Regex nicht damit funktioniert.
Cweiske
3

In smtpd_recipient_restrictionseinfach so eingestellt reject_unknown_client_hostname:

smtpd_recipient_restrictions = reject_unknown_client_hostname

Dies führt dazu, dass Clients und streunende oder dumme Zombie-Bots mit unbekannten Hostnamen abgelehnt werden. Ihre Protokolle sehen folgendermaßen aus:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]
Herr
quelle
Es gibt bereits eine akzeptierte Antwort auf diese (sehr alte) Frage.
BE77Y
1
Der unbekannte Hostname war / ist nicht das Problem. lost connection after AUTHwar / ist.
84104
1
Ihr Problem ist "Was passiert hier und sollte ich etwas dagegen tun?" Und das ist eine absolut gültige Antwort.
anorganik
2

Ich bin mir nicht sicher, ob es viel zu befürchten gibt. Im Grunde genommen verbindet sich ein Client / 'jemand', gibt AUTH aus und trennt die Verbindung von selbst. Dies kann ein Versuch sein, die Serverfunktionen von einem E-Mail-Client aus zu testen - oder ein Versuch, den Dämon zu prüfen.

Solange Sie über ausreichende Sicherheit verfügen, klopft die Welt nur noch einmal an die Tür.

dünnes Eis
quelle
Auch wenn es 3 oder 4 mal hintereinander passiert?
Alexis Wilke