我收到大量失败的 SMTP 登录尝试。我真的很想防御它,但是这些尝试的记录很差。
我正在使用 sendmail 8.15、cyrus-sasl 2.1.26。SASL 设置是最简单的方法,默认使用 pam_unix 进行身份验证。
我经常收到这样的日志消息:
saslauthd[8292]: pam_unix(smtp:auth): check pass; user unknown
saslauthd[8292]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
saslauthd[8292]: DEBUG: auth_pam: pam_authenticate failed: Authentication failure
saslauthd[8292]: do_auth : auth failure: [user=colby] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
这意味着,虽然我知道正在发生虚假登录尝试,但我真的无能为力,比如让 fail2ban 监禁他们。
我真的无法判断问题是否是 Sendmail 正在告诉 pam_unix 事情,并且它正在转储它们,或者 sendmail 是否没有告诉 pam 正在尝试的位置。
我想要的是使用它来自的 IP 地址记录身份验证尝试,所以如果有很多失败,fail2ban 可以监禁 IP。