主页 / server / 问题 / 1155907
Accepted
admfotad
Asked: 2024-03-08 16:02:47 +0800 CST

postfix with dovecot:许多身份验证失败

  • 772

我已经用 dovecot 安装了 postfix,之后我发现来自互联网的大量身份验证失败。我已经安装并配置了fail2ban,并且每个未经身份验证的IP都被禁止,但也许还有其他解决方案,或者也许我做错了什么。

日志示例:

Mar  8 08:48:01 somehostname auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=news rhost=45.88.90.208  user=news

是否有其他解决方案来禁用客户端从互联网登录/连接并仅从本地网络启用?- 就我而言,无需为客户从互联网检索电子邮件。也许还有其他解决方案?

postfix main.cf 中的 Dovecot 示例配置:

smtpd_sasl_type = dovecot

提前谢谢你AD

postfix

2 个回答

  1. Best Answer

    您可以完全禁用 SMTP 端口上的 SASL 身份验证25,因为经过身份验证的用户应该使用提交,也称为SMTP 提交的隐式 TLSRFC 8314, 3.3)。

    • main.cfsmtpd_sasl_auth_enable = no默认情况下)

    • master.cf覆盖例如/中smptd的SASL 身份验证相关设置,例如smtps465

      smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sender_login_maps=hash:/etc/postfix/virtual
  -o smtpd_sender_restrictions=reject_sender_login_mismatch
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o { smtpd_recipient_restrictions=
           reject_non_fqdn_recipient,
           reject_unknown_recipient_domain,
           permit_sasl_authenticated,
           reject
     }

    465之后,您可以在防火墙中限制本地网络的端口。

    • 2

  2. 您可以使用 iptables 将 imap 端口 143,465,587,993 限制为仅限 LAN。

    • 0

相关问题