La conexión de Postfix se perdió después de AUTH

12

Al mirar los registros en mis servidores de correo, he notado mensajes como los siguientes:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

No hay fallas de SASL en estos casos. Hay fallas SASL que se registran en otros momentos, pero nunca con lost connection after AUTH.

¿Qué está pasando aquí, y debo hacer algo al respecto?
Estos no son MX, y ya se han smtpd_client_connection_rate_limitconfigurado.

Posiblemente relacionado:
los sistemas requieren SMTPS o STARTTLS antes de que se anuncie AUTH.

postfix 84104
fuente
¿Se puede aumentar el nivel de depuración de postfix?
Khaled
Puedo, pero eso hará crecer los archivos de registro a una velocidad considerablemente mayor, y estos eventos son esporádicos. ¿Qué ayudará este aumento de registro a desambiguar?
84104
1
Por lo tanto, debe aumentarlo por un pequeño período de tiempo y cuando espera obtener este error. Con suerte, esto da más pistas sobre lo que significa este error.
Khaled

Respuestas:

9

Esta es una botnet de China que se conecta a su caja tratando de enviar spam. Pero el bot es demasiado estúpido para saber qué hacer cuando se le pide que se autentique. El bot simplemente deja de entregar correo y luego se desconecta por atacar a la próxima víctima.

Absolutamente nada de qué preocuparse.

mailq
fuente
3
Suficientemente cerca. Parece que es algún tipo de script que emite AUTH y sale impuro después de recibir 503 5.5.1 Error: authentication not enabled. Fue capaz de replicar con ncat. Sin embargo, por qué sigue intentándolo hasta que alcanza el límite de velocidad está más allá de mí. ¿Tal vez está tratando de forzar a los pares de nombre de usuario / contraseña de fuerza bruta? De cualquier manera, demasiado estúpido, demasiado preocupado.
84104
2
Como prueba, solo obtengo esta línea en mis registros y nunca veo fallas de SASL simplemente usando Thunderbird y una contraseña no válida para una cuenta conocida. Dado que el correo autenticado siempre pasa por Postfix sin obstáculos, la respuesta correcta es, si es posible, usar el script de fail2ban publicado para mantener al mínimo el número de intentos de fuerza bruta. Los intentos de contraseña de fuerza bruta son algo de lo que debe preocuparse absolutamente para evitar convertir su caja en un relé abierto, especialmente si esta es la única línea en sus registros.
CubicleSoft
Parece que los registros están obteniendo uno por segundo, lo que podría ser alguien tratando de forzar al servidor, lo cual es algo de lo que preocuparse. Recomiendo usar el fail2ban, como mínimo. No resolverá por completo un problema de fuerza bruta, pero lo mitigará sustancialmente.
Severun
21

Mis archivos de registro se estaban llenando, y es un desperdicio de CPU incluso permitir una conexión de estos idiotas. Creé una fail2banregla.

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

Contenido de /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

Contenido de /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
the7erm
fuente
2
Esto me salvó el día. He añadido la siguiente regla: failregex = ^%(__prefix_line)slost connection after AUTH from \S+\[<HOST>\].$. Tuve muchos cientos de intentos de conexión en unos minutos. Tenía que hacer algo al respecto.
chmike
Esto es un poco más genérico:failregex = lost connection after AUTH from (.*)\[<HOST>\]
CubicleSoft
@chmike: el punto antes del final $debe eliminarse. No funcionó aquí con él en la expresión regular.
cweiske
3

En smtpd_recipient_restrictionsun conjunto reject_unknown_client_hostnamecomo este:

smtpd_recipient_restrictions = reject_unknown_client_hostname

y esto resultará en rechazar clientes y bots zombies callejeros o tontos con nombres de host desconocidos. Sus registros se verán así cuando esté configurado:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]
Señor
fuente
Ya hay una respuesta aceptada para esta pregunta (muy antigua).
BE77Y
1
El nombre de host desconocido era / no es el problema. lost connection after AUTHfue / es.
84104
1
Su problema es "¿Qué está pasando aquí, y debo hacer algo al respecto?" Y esta es una respuesta perfectamente válida.
inorganik
2

No estoy seguro de si hay mucho de qué preocuparse, básicamente un cliente / 'alguien' se conecta, emite AUTH y se desconecta por su propia cuenta. Podría ser un intento de probar las capacidades del servidor desde un cliente de correo, o un intento de poner en caso el demonio.

Mientras tengas suficiente seguridad en el lugar, es solo otro golpe en la puerta del mundo.

hielo delgado
fuente
¿Incluso si sucede 3 o 4 veces seguidas?
Alexis Wilke