인증이 활성화된 Ubuntu 18.04lts에서 postfix 서버를 실행하고 있습니다.
(main.cf에서)
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
broken_sasl_auth_clients = yes
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
무차별 로그인 시도를 차단하도록 fall2ban을 구성하고 싶습니다. 다음과 같은 활동이 폭발적으로 증가하고 있습니다.
Jul 3 06:39:33 liv-e01-pg-inmail postfix/smtpd[27594]: disconnect from unknown[194.31.98.76] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
("auth=0/1"은 인증 시도 실패를 의미한다고 생각합니다.)
인터넷에는 여러 가지 failure2ban 방법이 있지만 내가 본 모든 방법은 로그에서 명시적인 인증 실패 보고서를 찾습니다.https://bobcares.com/blog/fail2ban-postfix-sasl/:
Aug 31 22:23:52 hostxyz postfix/smtpd[38697]: warning: unknown[192.168.xx.xx]: SASL LOGIN authentication failed: authentication failure
내 호스트에는 그러한 로그 항목이 기록되지 않습니다(mail.log, syslog 및 auth.log 확인). 또한 로그에 보고된 성공적인 인증 이벤트가 표시되지 않습니다. 하지만 처리 중인 이메일은 볼 수 있습니다.
기본 구성으로 rsyslog를 실행합니다.
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
kern.* -/var/log/kern.log
mail.* -/var/log/mail.log
내가 여기서 무엇을 놓치고 있는 걸까요?
** 갱신**
나하다mail.log에 성공적인 인증 시도가 표시되지만 로그인에 실패한 흔적은 없습니다.
답변1
무슨 일이 일어나고 있는지 알아보세요.
먼저 실험을 시도했습니다.
- 잘못된 사용자 이름/비밀번호로 서비스에 액세스하면 예상한 로그 항목이 생성됩니다(그러나 postfix가 응답하는 데 몇 초가 걸립니다).
- postfix 응답을 기다리는 동안 연결을 종료하면 여전히 예상되는 로그 항목이 생성됩니다.
- 사용자 이름을 입력한 후 비밀번호를 입력하기 전에 연결을 종료하면 예상되는 로그 항목이 생성됩니다.
그래서 그런 다음 이러한 이벤트를 계속 발생시키는 주소 중 하나의 활동을 수신하도록 tcpdump를 설정했습니다.
클라이언트가 STARTTLS를 먼저 실행하지 않고 인증을 시도하고 있음을 발견했습니다.503 5.5.1 오류: 인증이 활성화되지 않았습니다.
이는 위험이 거의 없는 것처럼 보이고 실패한 모든 인증 시도(이 시도 포함)로 인해 "auth=0/[1-9]"가 포함된 로그 항목이 발생하므로 이를 실패2반 필터에 사용합니다.