我有一个工作后缀 3.5 中继,其中配置包括:
smtpd_client_restrictions = permit_mynetworks,
reject_unknown_client_hostname,
permit
smtpd_helo_required=yes
smtpd_helo_restrictions = reject_unknown_helo_hostname
reject_invalid_helo_hostname
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated,
reject_unauth_destination
我在日志中看到频繁的身份验证尝试:
2月23日16:53:02 m.example.com postfix/smtpd[30155]:从未知连接[196.190.41.137]
2月23日16:53:17 m.example.com postfix/smtpd[30155]:警告:未知[ 196.190.41.137]:SASL LOGIN 身份验证失败:身份验证失败
2 月 23 日 16:53:19 m.example.com postfix/smtpd[30155]:未知身份验证后失去连接[196.190.41.137]
2 月 23 日 16:53:19 m .example.com postfix/smtpd[30155]:与未知[196.190.41.137]断开连接 ehlo=2 starttls=1 auth=0/1 命令=3/4
我希望这reject_unknown_helo_hostname
会立即拒绝,但它似乎允许他们尝试 SASL 登录。虽然我认为我的 saslauth 相当安全,但我宁愿他们甚至不能尝试。
有没有办法让“未知”主机名更早被拒绝?这将阻止 90% 的登录尝试,因为大多数不断尝试相同登录的僵尸网络都具有未知的主机名。
我的配置中是否有某些内容过于宽松,因此他们始终可以执行 saslauth 步骤?
各种 SMTP 访问限制的应用顺序是什么?
编辑:Wireshark 显示最近的这些 SASL 登录身份验证失败之一发送此消息来启动会话:
EHLO [182.150.23.17]
那么为什么在这件事发生之前没有被拒绝:
2 月 23 日 23:49:42 m.example.com postfix/smtpd[42557]:警告:未知[182.150.23.17]:SASL LOGIN 身份验证失败:身份验证失败