পোস্টফিক্স সংযোগ AUTH এর পরে হারিয়ে গেছে


12

আমার মেইল ​​সার্ভারগুলিতে লগগুলি দেখে আমি নীচের মত বার্তাগুলি লক্ষ্য করেছি:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

এই ক্ষেত্রে কোনও এসএএসএল ব্যর্থতা নেই। সেখানে এসএএসএল ব্যর্থতা অন্যান্য সময়ে লগ করা হয়, তবে কখনও হয় না lost connection after AUTH

এখানে কি ঘটছে, এবং আমি এটি সম্পর্কে কিছু করা উচিত?
এগুলি এমএক্স নয় এবং ইতিমধ্যে smtpd_client_connection_rate_limitসেট করেছে।

সম্ভবত সম্পর্কিত:
সিস্টেমগুলি এসটিটিএস ঘোষণার আগে এসএমটিপিএস বা STARTTLS হয় require


আপনি কি পোস্টফিক্সের ডিবাগ স্তর বাড়িয়ে দিতে পারেন?
খালেদ

আমি পারি, তবে তা লগ ফাইলগুলিকে যথেষ্ট উচ্চ হারে বাড়িয়ে তুলবে, এবং এই ইভেন্টগুলি বিক্ষিপ্ত। এই বর্ধিত লগিং নিষ্ক্রিয় করতে কী সাহায্য করবে?
84104

1
সুতরাং, আপনার এটি একটি অল্প সময়ের জন্য বাড়ানো দরকার এবং যখন আপনি এই ত্রুটিটি পাওয়ার প্রত্যাশা করেন। এই ত্রুটিটির অর্থ কী তা আশাবাদী আরও ইঙ্গিত দেয়।
খালেদ

উত্তর:


9

এটি চীন থেকে আসা একটি বোটনেট স্প্যাম সরবরাহ করার চেষ্টা করে আপনার বক্সের সাথে সংযোগ করছে। কিন্তু বটটি নিজেকে প্রমাণীকরণ করতে বললে কী করা উচিত তা জানতে বোকা খুব বোকা। বটটি কেবল মেল সরবরাহ করা বন্ধ করে এবং তারপরে পরবর্তী শিকারের উপর আক্রমণ করার জন্য সংযোগ বিচ্ছিন্ন করে।

একেবারে চিন্তার কিছু নেই nothing


3
খুব কাছাকাছি. দেখে মনে হচ্ছে এটি এমন এক ধরণের স্ক্রিপ্ট যা প্রমাণিত হয় এবং প্রাপ্তির পরে অশুচি থেকে বেরিয়ে আসে 503 5.5.1 Error: authentication not enabled। এনসিএটি দিয়ে প্রতিলিপি করতে সক্ষম হয়েছিল। যদিও এটি হারের সীমাটি হিট না করা পর্যন্ত কেন চেষ্টা করে চলেছে তা আমার বাইরে। সম্ভবত এটি ব্যবহারকারীর নাম / পাসওয়ার্ডের জোড় জোড় করার চেষ্টা করছে? যেভাবেই হোক না কেন, খুব বোকা খুব চিন্তিত।
84104

2
একটি পরীক্ষা হিসাবে, আমি কেবল আমার লগগুলিতে এই লাইনটি পাই এবং কেবলমাত্র থান্ডারবার্ড এবং একটি পরিচিত অ্যাকাউন্টের জন্য একটি অবৈধ পাসওয়ার্ড ব্যবহার করে কোনও এসএএসএল ব্যর্থতা কখনই দেখতে পাই না। যেহেতু প্রমাণীকৃত মেল সর্বদা পোস্টফিক্সকে আনহাইন্ডারে যায়, সঠিক উত্তরটি যদি সম্ভব হয় তবে ন্যূনতম জঙ্গী প্রয়াসের সংখ্যাটি সর্বনিম্ন রাখার জন্য পোস্ট ফেলফল 2 স্ক্রিপ্টটি ব্যবহার করা। ব্রুট ফোর্স পাসওয়ার্ডের প্রচেষ্টাগুলি আপনার বাক্সটি একটি উন্মুক্ত রিলে রূপান্তর এড়ানোর জন্য একেবারে উদ্বিগ্ন হওয়ার জন্য বিশেষত - বিশেষত যদি এটি আপনার লগগুলির একমাত্র লাইন।
কিউবিকসফট

লগগুলি দেখে মনে হচ্ছে সে এক সেকেন্ড পাচ্ছে, যা সার্ভারকে জোর করার চেষ্টা করছে এমন কেউ হতে পারে, যা উদ্বিগ্ন হওয়ার মতো something আমি ব্যর্থ ন্যূনতম, কমপক্ষে ব্যবহার করার পরামর্শ দিচ্ছি। এটি সম্পূর্ণরূপে একটি নিষ্ঠুর বলয়ের সমস্যা সমাধান করবে না, তবে এটি এটিকে যথেষ্ট পরিমাণে হ্রাস করবে।
সেভেরুন

21

আমার লগ ফাইলগুলি পূর্ণ হয়ে উঠছিল, এবং এই ঝাঁকুনির থেকে কোনও সংযোগের অনুমতি দেওয়ার জন্য এটি সিপিইউয়ের অপচয় নয়। আমি একটি fail2banনিয়ম তৈরি করেছি ।

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

বিষয়বস্তু /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

বিষয়বস্তু /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex = 

2
এটি আমার দিনকে বাঁচিয়েছিল। আমি নিম্নলিখিত নিয়ম যোগ করেছেন: failregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$। আমি কয়েক মিনিটের মধ্যে এই জাতীয় সংযোগের অনেক চেষ্টা করেছি। আমি এটি সম্পর্কে কিছু করতে হয়েছিল।
chmike

এটি কিছুটা জেনেরিক:failregex = lost connection after AUTH from (.*)\[<HOST>\]
CubicleSoft

@ chmike: শেষ হওয়ার আগে বিন্দুটি $অবশ্যই সরিয়ে ফেলতে হবে। রিজেক্সে এটির সাথে এখানে কাজ হয়নি।
cweiske

3

ইন smtpd_recipient_restrictionsমাত্র সেট reject_unknown_client_hostnameভালো:

smtpd_recipient_restrictions = reject_unknown_client_hostname

এবং এর ফলে ক্লায়েন্ট এবং বিপথগামী বা বোবা জম্বি বটগুলি অজানা হোস্টের নাম প্রত্যাখ্যান করবে। আপনার লগগুলি সেট করার সময় এমন দেখাবে:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]

এই (খুব পুরানো) প্রশ্নের জন্য ইতিমধ্যে একটি স্বীকৃত উত্তর রয়েছে।
BE77Y

1
অজানা হোস্টনামটি ছিল / এটি সমস্যা নয়। lost connection after AUTHছিল / আছে।
84104

1
তাদের সমস্যাটি হ'ল "এখানে কী হচ্ছে, এবং এ সম্পর্কে আমার কিছু করা উচিত?" এবং এটি একটি সম্পূর্ণ বৈধ উত্তর।
অজৈবিক

2

আমি নিশ্চিত না যে সম্পর্কে উদ্বিগ্ন হওয়ার মতো অনেক কিছুই আছে, মূলত কোনও ক্লায়েন্ট / 'কেউ' সংযোগ করছে, এথটি জারি করছে এবং তাদের নিজস্ব মতানৈকতা সংযোগ বিচ্ছিন্ন করছে। এটি কোনও মেল ক্লায়েন্টের থেকে সার্ভারের ক্ষমতাগুলি অনুসন্ধান করার চেষ্টা - বা ডেমনকে মামলার প্রচেষ্টা হতে পারে।

যতক্ষণ না আপনার পর্যাপ্ত সুরক্ষা থাকে ততক্ষণ এটি পৃথিবীর দরজার দিকে আরও একটি নক।


একটানা 3 বা 4 বার হয়ে গেলেও?
অ্যালেক্সিস উইলক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.