私のSMTPサーバーが調査中です。パスワード辞書を確認するSASLに無差別代入を追加するようです。
ログファイルでこのような行を何千もの見ました。
Sep 18 14:09:52 xxx postfix/smtpd[7412]: connect from ca255.calcit.fastwebserver.de[146.0.42.124]
Sep 18 14:09:55 xxx postfix/smtpd[7412]: warning: ca255.calcit.fastwebserver.de[146.0.42.124]: SASL LOGIN authentication failed: authentication failure
Sep 18 14:09:55 xxx postfix/smtpd[7412]: lost connection after AUTH from ca255.calcit.fastwebserver.de[146.0.42.124]
Sep 18 14:09:55 xxx postfix/smtpd[7412]: disconnect from ca255.calcit.fastwebserver.de[146.0.42.124]
main.cfを次のように修正しました。
inet_interfaces = all
smtpd_sasl_auth_enable=yes
smtpd_helo_required = yes
smtpd_sender_restrictions = reject_unknown_address
smtpd_client_restrictions = check_client_access hash:/etc/postfix/maps/access_client,
permit_mynetworks,
reject
smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/maps/access_client,
permit_mynetworks,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_unauth_destination,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client list.dsbl.org
permit
broken_sasl_auth_clients = yes
私の/etc/postfix/maps/access_clientには次の行しかありません。
146.0.42.124 REJECT
ただし、postfix を再起動した後でも動作に変化がなく、同じエラーが表示されるため、SASL は確認を続けます。これらの設定と考えましたが、クライアントはSASLが開始される前にIPアドレスに基づいて拒否されます。遊ぶ?
2番目の問題は、内部ネットワークのあるシステムから別のシステムへのメールトラフィックを中継していることです。 - リレー専用システムの「relayhost」設定を除いて、残りのサフィックス設定を同じに保つことはできますか?
答え1
特定のIPまたはIP範囲に対してSASL AUTHを無効にする場合いいえ副作用smtpd_delay_reject = no、確認してくださいsmtpd_discard_ehlo_keyword_address_mapsキーワード。構成例と指示:
構成
まず、次のキーワードを設定します/etc/postfix/main.cf。
smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/esmtp_cidr
/etc/postfix/esmtp_cidrここで、(指定したファイル)にブラックリストを定義します。
# /etc/postfix/esmtp_cidr
91.200.12.0/24 auth
155.133.82.77 auth
146.0.42.124 auth
リストファイルなので実行するcidr:必要はありません。postmapただし、Postfixに設定を再ロードするように指示する必要があります。
service postfix reload
説明する
どういう意味ですか?指定されたアドレス(この場合はIP全体またはIP範囲)に対してPostfixに特定のESMTP機能を無効にするように指示しますAUTH。これは、そのホストがSASLを使用できなくなったことを意味します。ログを確認してみましょう。
Aug 11 22:37:39 xxx postfix/smtpd[32630]: connect from unknown[91.200.12.98]
Aug 11 22:37:39 xxx postfix/smtpd[32630]: discarding EHLO keywords: AUTH
Aug 11 22:37:39 xxx postfix/smtpd[32630]: lost connection after AUTH from unknown[91.200.12.98]
Aug 11 22:37:39 xxx postfix/smtpd[32630]: disconnect from unknown[91.200.12.98]
したがって、使用しなくても必要なものを得ることsmtpd_delay_reject = noができるので、後者の副作用を心配する必要はありません。
注:同様に、クライアントがパイプやstarttlsなどの他のESMTP機能を使用しないように無効にすることができます。たとえば、利用可能なキーワードのリストを見つけることができます。このウィキペディアの記事で。を除いてsmtpd_sasl_Exceptions_networks、これらのキーワードは公開されないだけでなく、ログに示されているようにまったく許可されません。
答え2
Postfixはコマンドを送信する前にコマンドを評価しませんsmtpd_client_restrictions。RCPT TOETRN
http://www.postfix.org/SMTPD_ACCESS_README.html#timing
現在のPostfixバージョンは、RCPT TOまたはETRNコマンドが出るまでクライアント、helo、および送信者制限リストの評価を延期します。この動作はsmtpd_delay_rejectパラメータによって制御されます。制限リストは依然として(クライアント、helo、etrn)または(クライアント、helo、送信者、リレー、受信者、データ、またはデータの終わり)制限の正しい順序で評価されます。制限リスト(クライアントなど)がREJECTまたはDEFERと評価された場合は、後続の制限リスト(helo、senderなど)をスキップします。
したがって、以下を設定することでこの問題を解決できますmain.cf。
smtpd_delay_reject = no
2番目の質問では、postfixには多くの制御機能があり、ネットワーク、postfix設定、およびクライアント設定に関する完全な詳細がなければ、答えることはほとんど不可能です。最良の方法は試してみることです。