Postfix 可能的 SMTP 攻击和黑名单

马蒂亚·迪·朱塞佩

我的服务器上有 plesk 12.5.30,它经常被列入 Symantec Mail Security 声誉的黑名单。ip 是新的(我在 13.02.2017 购买了服务器)。

我的 ip 也在 BACKSCATTERER 上被列入黑名单。

看到postfix的日志,我有很多条目,比如

Mar 22 14:51:43 server postfix/smtpd[14204]: connect from 75-143-80-240.dhcp.aubn.al.charter.com[75.143.80.240]
Mar 22 14:51:45 server postfix/smtpd[14204]: lost connection after EHLO from 75-143-80-240.dhcp.aubn.al.charter.com[75.143.80.240]
Mar 22 14:51:45 server postfix/smtpd[14204]: disconnect from 75-143-80-240.dhcp.aubn.al.charter.com[75.143.80.240]
Mar 22 14:51:50 server postfix/smtpd[14204]: connect from 128.128.72.76.cable.dhcp.goeaston.net[76.72.128.128]
Mar 22 14:51:51 server postfix/smtpd[14204]: lost connection after EHLO from 128.128.72.76.cable.dhcp.goeaston.net[76.72.128.128]
Mar 22 14:51:51 server postfix/smtpd[14204]: disconnect from 128.128.72.76.cable.dhcp.goeaston.net[76.72.128.128]
Mar 22 14:52:19 server postfix/smtpd[14204]: connect from mail.dedeckeraccountants.be[91.183.46.186]
Mar 22 14:52:19 server postfix/smtpd[14204]: disconnect from mail.dedeckeraccountants.be[91.183.46.186]

我有

  1. 将 smtp 端口更改为非标准端口 (9456)
  2. 在 plesk 上安装防火墙和 fail2ban 并设置为图像
  3. 设置 plesk 的邮件设置,如图所示
  4. 安装了 spamassasin

我也注意到几天前我在日志中有这样的行

Mar 19 06:47:00 server postfix/smtp[13517]: CCC1C510023D: to=<[email protected]>, relay=none, delay=235637, delays=235636/0.05/0.09/0, dsn=4.4.1, status=deferred (connect to www.lablue.de[217.22.195.26]:25: Connection refused)
Mar 19 06:47:00 server postfix/smtp[13503]: 7EDD55100138: to=<[email protected]>, relay=kirche-rotenburg-verden.de[136.243.213.122]:25, delay=239980, delays=239979/0.01/0.35/0.1, dsn=4.0.0, status=deferred (host kirche-rotenburg-verden.de[136.243.213.122] said: 451 Temporary local problem - please try later (in reply to RCPT TO command))
Mar 19 06:47:00 server postfix/smtp[13504]: 97B055100233: to=<[email protected]>, relay=none, delay=222922, delays=222922/0.01/0.64/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=angerlehner.at type=MX: Host not found, try again)
Mar 19 06:47:00 server postfix/smtp[13509]: 1E15F510019B: host mx1.leventboru.com.tr[89.19.1.69] said: 450 4.7.1 Recipient address rejected: Requested action not taken: mailbox unavailable or not local (in reply to RCPT TO command)

而且我注意到plesk设置中的邮件队列很长(我已删除队列中的所有邮件)

有什么建议可以阻止这种攻击?

提前致谢

编辑:我想分享我的 plesk-postfix 设置

[plesk-postfix]
enabled = true
filter = postfix-sasl
action = iptables-multiport[name="plesk-postfix", port="http,https,smtp,submission,pop3,pop3s,imap,imaps,sieve", protocol=tcp]
logpath = /var/log/maillog
maxretry = 2

这里有什么我可以改进的地方吗?

UFHH01

您可能会考虑使用 Fail2Ban - 过滤器和以下正则表达式 - 表达式:

failregex = ^%(__prefix_line)slost connection after (AUTH|UNKNOWN|EHLO) from [^\[]*\[<HOST>\]\s*$

如果您需要进一步的 Fail2Ban 正则表达式 - 表达式,请。考虑添加相应的日志文件条目,因为某些常规的标准文件可能不适合您的需要,并且/和/或服务器上安装的qmail / postfix / imap-courier / dovecot版本。;-)

编辑:为了更准确,我现在添加完整的建议,包括。正则表达式,@MattiaDiGiuseppe 已经在他的评论中使用了 - 只是这样格式化更好一些。

[Definition]

_daemon = postfix(-\w+)?/(?:submission/|smtps/)?smtp[ds]

failregex = ^%(__prefix_line)swarning: (.*?)does not resolve to address <HOST>: Name or service not known$
        ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(:[ A-Za-z0-9+/:]*={0,2})?\s*$
        ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .* Relay access denied.*$
        ^%(__prefix_line)sSSL_accept error from \S+\s*\[<HOST>\]: lost connection$
        ^%(__prefix_line)sSSL_accept error from \S+\s*\[<HOST>\]: -1$
        ^%(__prefix_line)slost connection after (AUTH|UNKNOWN|EHLO) from [^\[]*\[<HOST>\]\s*$

ignoreregex = authentication failed: Connection lost to authentication server$

请。考虑查看所有标准过滤器(对于 Fail2Ban 0.10 和旧版本),请访问:

=> https://github.com/fail2ban/fail2ban/tree/0.10/config/filter.d

如果您想查看旧版本的标准,只需单击“Branch:0.10” dropdpwn - 按钮,请。

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

Postfix黑名单多个电子邮件被拒绝

来自分类Dev

对postfix服务器的可能攻击

来自分类Dev

PostFix SMTP(Ubuntu 14.04)

来自分类Dev

通过Java和Postfix服务器发送SMTP邮件

来自分类Dev

Postfix双重传送到本地(虚拟)邮箱和Google SMTP

来自分类Dev

PHP邮件发送和黑名单

来自分类Dev

postfix SMTP连接超时,为什么?

来自分类Dev

将Postfix配置为SMTP中继(仅)

来自分类Dev

postfix日志:RCPT TO之后,SMTP会话停止

来自分类Dev

postfix SMTP身份验证端口25

来自分类Dev

StackExchange黑名单

来自分类Dev

进出口dnslookup,优先级和“黑名单”(不是真正的黑名单)

来自分类Dev

SSH的白名单和黑名单

来自分类Dev

通过CLI将邮件发送到同一LAN上的SMTP服务器(与Mutt和Postfix混淆)

来自分类Dev

多个本地smtp服务器上的Postfix中继

来自分类Dev

通过Postfix使用Gmail时,关闭SMTP的端口25

来自分类Dev

IP黑名单Apache

来自分类Dev

PHPUnit的白名单和黑名单似乎被忽略了

来自分类Dev

如何在discord.py中将用户列入黑名单和白名单?

来自分类Dev

按多个标签选择(白名单和黑名单)

来自分类Dev

网络钓鱼攻击即将发生(在Chrome中)-我的域被列入黑名单,如何使其恢复正常?

来自分类Dev

要求某种模式的IP黑名单

来自分类Dev

Windows Phone 8黑名单

来自分类Dev

Windows Phone 8黑名单

来自分类Dev

洪流跟踪网站黑名单

来自分类Dev

使用nftables创建动态黑名单

来自分类Dev

黑名单 xhci_hcd

来自分类Dev

保护postfix免受蛮力攻击

来自分类Dev

DNS服务器可将大量域名和一些TLD列入黑名单