Eu tenho um relé postfix 3.5 funcionando onde a configuração inclui:
smtpd_client_restrictions = permit_mynetworks,
reject_unknown_client_hostname,
permit
smtpd_helo_required=yes
smtpd_helo_restrictions = reject_unknown_helo_hostname
reject_invalid_helo_hostname
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated,
reject_unauth_destination
Vejo tentativas frequentes de autenticação nos logs:
23 de fevereiro 16:53:02 m.example.com postfix/smtpd[30155]: conexão de desconhecido[196.190.41.137]
23 de fevereiro 16:53:17 m.example.com postfix/smtpd[30155]: aviso: desconhecido[ 196.190.41.137]: Falha na autenticação SASL LOGIN: falha de autenticação
23 de fevereiro 16:53:19 m.example.com postfix/smtpd[30155]: conexão perdida após AUTH de desconhecido[196.190.41.137]
23 de fevereiro 16:53:19 m .example.com postfix/smtpd[30155]: desconectar de desconhecido[196.190.41.137] ehlo=2 starttls=1 auth=0/1 comandos=3/4
Eu esperava que isso reject_unknown_helo_hostname
rejeitasse isso imediatamente, mas parece permitir que eles tentem o login SASL. Embora eu ache que meu saslauth é bastante seguro, eu preferiria que eles nem tentassem.
Não há como fazer com que o nome do host "desconhecido" seja rejeitado anteriormente? Isso evitaria 90% das tentativas de login, já que a maior parte desse botnet que continua tentando os mesmos logins tem nomes de host desconhecidos.
Existe algo na minha configuração que é muito permissivo para que eles sempre possam chegar à etapa saslauth?
Em que ordem são aplicadas as diversas restrições de acesso SMTP?
Editar: Wireshark mostra que uma dessas falhas recentes de autenticação de login SASL enviou isto para iniciar a sessão:
EHLO [182.150.23.17]
Então, por que não foi rejeitado antes que isso acontecesse:
23 de fevereiro 23:49:42 m.example.com postfix/smtpd [42557]: aviso: desconhecido [182.150.23.17]: falha na autenticação SASL LOGIN: falha na autenticação