認証が有効なUbuntu 18.04ltsでpostfixサーバーを実行しています。
(main.cfから)
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
broken_sasl_auth_clients = yes
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
無差別ログイン試行をブロックするようにfall2banを設定したいと思います。以下の活動が爆発的に増加しています。
Jul 3 06:39:33 liv-e01-pg-inmail postfix/smtpd[27594]: disconnect from unknown[194.31.98.76] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
("auth=0/1" は認証試行失敗を意味すると思います。)
インターネットにはいくつかのfailure2banメソッドがありますが、私が見たすべての方法はログで明示的な認証失敗レポートを見つけます。https://bobcares.com/blog/fail2ban-postfix-sasl/:
Aug 31 22:23:52 hostxyz postfix/smtpd[38697]: warning: unknown[192.168.xx.xx]: SASL LOGIN authentication failed: authentication failure
私のホストにはそのようなログエントリは記録されません(mail.log、syslog、およびauth.logの確認)。さらに、ログに報告された成功した認証イベントは表示されません。ただし、処理中のメールは表示できます。
デフォルト設定でrsyslogを実行します。
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
kern.* -/var/log/kern.log
mail.* -/var/log/mail.log
私がここで何を見逃しているのでしょうか?
**更新**
私するmail.log に認証の成功の試みが表示されますが、ログインに失敗した兆候はありません。
答え1
何が起こっているのか調べてください。
まず実験を試しました。
- 無効なユーザー名/パスワードでサービスにアクセスすると、予期したログエントリが生成されます(ただしpostfixが応答するのに数秒かかります)。
- postfix 応答を待っている間に接続を終了すると、依然として予想されるログエントリが生成されます。
- ユーザー名を入力してパスワードを入力する前に接続を終了すると、予想されるログエントリが生成されます。
そこで、これらのイベントを引き続き発生させるアドレスの1つのアクティビティを受信するようにtcpdumpを設定しました。
クライアントが最初にSTARTTLSを実行せずに認証を試みていることがわかりました。503 5.5.1エラー:認証が有効になっていません。
これはリスクがほとんどないように見え、失敗したすべての認証試行(この試行を含む)が原因で「auth = 0 / [1-9]」を含むログエントリが発生するため、失敗したセカンダリフィルタに使用されます。