înregistrare Logare
Puncte:0
Anderson Koh avatar Server

Postfix: nu s-a putut opri „autentificarea SASL LOGIN a eșuat” atacul în jurnalele de e-mail

drapel gr
Anderson Koh

Încerc să opresc un atac și să mă conectez cu Autentificarea SASL LOGIN a eșuat pentru serverul meu de mail. Cu toate acestea, am încercat de o zi și încă nu reușesc. Jurnalele continuă să genereze atacul cu același IP.

Mașinărie

Server Linux 5.4.0-109-generic #123-Ubuntu SMP Vin. 8 aprilie 09:10:54 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

Se autentifică e-mail /var/log/mail.log

Apr 28 20:45:23 server postfix/smtpd[112579]: conectați de la necunoscut[5.34.207.81]
28 aprilie 20:45:24 server postfix/smtpd[112409]: avertisment: necunoscut[5.34.207.81]: autentificare SASL LOGIN eșuată: eșec de autentificare
Apr 28 20:45:25 server postfix/smtpd[112409]: deconectare de la necunoscut[5.34.207.81] ehlo=1 auth=0/1 rset=1 quit=1 comenzi=3/4
Apr 28 20:45:30 server postfix/smtpd[112599]: conectați de la necunoscut[5.34.207.81]
28 aprilie 20:45:31 server postfix/smtpd[112579]: avertisment: necunoscut[5.34.207.81]: autentificare SASL LOGIN eșuată: eșec de autentificare
Apr 28 20:45:32 server postfix/smtpd[112579]: deconectare de la necunoscut[5.34.207.81] ehlo=1 auth=0/1 rset=1 quit=1 comenzi=3/4
Apr 28 20:45:36 server postfix/smtpd[112409]: conectați de la necunoscut[5.34.207.81]
28 aprilie 20:45:38 server postfix/smtpd[112599]: avertisment: necunoscut[5.34.207.81]: autentificare SASL LOGIN eșuată: eșec de autentificare
Apr 28 20:45:38 server postfix/smtpd[112599]: deconectare de la necunoscut[5.34.207.81] ehlo=1 auth=0/1 rset=1 quit=1 comenzi=3/4

Fail2Ban cu IPtables

/etc/fail2ban/jail.local

[postfix-sasl]

activat = adevărat
port = smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s

bantime = 10m
filtru = postfix-sasl
#action = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 15

am facut sudo service fail2ban reporniți iar treaba cu fir este că nu am văzut niciun lanț cu f2b-postfix.

La fel a făcut un grep de la fail2ban jurnalele și iată rezultatul:

Fail2Ban se conectează /var/log/fail2ban.log

2022-04-27 16:27:10,133 fail2ban.actions [567]: NOTIFICARE [postfix-sasl] Unban 5.34.207.81
2022-04-27 16:27:45,391 fail2ban.actions [567]: NOTIFICARE [postfix-sasl] Ban 5.34.207.81
2022-04-27 16:32:17,801 fail2ban.actions [567]: NOTIFICARE [postfix-sasl] Unban 212.70.149.72
2022-04-27 22:37:46,299 fail2ban.actions [567]: NOTIFICARE [postfix-sasl] Unban 5.34.207.81

Fail2Ban cu UFW

În cercetarea mea, înțeleg că Fail2Ban poate funcționa cu UFW, așa că am făcut câteva cercetări pentru el și iată configurația mea:

/etc/fail2ban/jail.local

[postfix-sasl]

activat = adevărat
journalmatch =
backend = sondaj
bantime = -1 // Bani permanent? Pot fi 
filtru = postfix-sasl
logpath = /var/log/mail.log
maxretry = 15
banaction = ufw
timp de găsire = 120

Merită menționat că am introdus manual sudo ufw insert 1 deny de la 5.34.207.81 la oricare cu sudo ufw reload dar, din păcate, încă pot vedea atacul de la același IP la log-urile prin e-mail /var/log/mail.log 

Stare: activ

La Acțiune De la
-- ------ ----
Oriunde RESPAZ 212.70.149.72             
Oriunde DENY 5.34.207.81

Filtrați pentru ambele în Fail2Ban

/etc/fail2ban/filter.d/postfix-sasl.conf

[INCLUSE]
înainte = comun.conf

[Definiție]
_daemon = postfix/smtpd
failregex = ^(.*)\[<HOST>\]: autentificarea SASL (?:LOGIN|PLAIN) a eșuat:(.*)$
ignoreregex =

Resurse: Fail2ban cu UFW

Apreciez daca ma poate ajuta cineva cu asta!

84
0 + 0
ufw
Puncte:0
Anderson Koh avatar Server
drapel gr
Anderson Koh

Actualizări

În sfârșit, al meu Fail2Ban funcționează conform așteptărilor și voi marca acest lucru ca răspuns!

Soluția este să setați acțiune egal cu iptables-multiport pentru a interzice mai multe porturi! Cu toate acestea, nu folosesc UFW să restricționez atacatorul pentru că îmi dau seama UFW nu este întotdeauna activat în timpul pornirii din cauza conflictelor cu firewalld.

Soluții

Adăugați această linie în dvs /etc/fail2ban/jail.local

acțiune = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s"]

Ar trebui să arate cam așa:

[postfix-sasl]

activat = adevărat
filtru = postfix-sasl
acțiune = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s"]
logpath = /var/log/mail.log
maxretry = 15
bantime = 12h

Am stabilit anterior maxretry la 3 în scop de testare. Poate doriți să o schimbați la o valoare mai mare. În caz contrar, utilizatorul dvs. ar putea intra rapid în probleme.

Verificați starea Fail2Ban

Merită să vă verificați închisoarea:

sudo fail2ban-server status postfix-sasl

Ieșire:

Statutul închisorii: postfix-sasl
|- Filtru
| |- Momentan eșuat: 2
| |- Total nereușite: 49
| `- Lista de fișiere: /var/log/mail.log
`- Acțiuni
   |- Interzis în prezent: 1
   |- Total interzise: 3
   `- Lista IP interzisă: 5.34.207.81

Resurse: Fail2Ban nu poate seta reguli Iptables:

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.