我有一个 Fail2Ban jail,用于监控 Postfix SMTP 服务器的 SASL 身份验证失败情况。发生这种情况时,/var/log/mail.log包含以下三行:
postfix/smtpd[32591]: connect from unknown[x.x.x.x]
postfix/smtpd[32591]: warning: unknown[x.x.x.x]: SASL LOGIN authentication failed: authentication failure
postfix/smtpd[32591]: disconnect from unknown[x.x.x.x]
并且Fail2Ban会过滤警告行:如果发现,则考虑禁止该IP。
最近,我更改了 Postfix,以便 AUTH 仅通过 TLS 可用(使用选项smtpd_tls_auth_only)。结果是,当有人尝试在没有 TLS 的情况下进行身份验证时,不再生成警告行:
postfix/smtpd[22469]: connect from unknown[x.x.x.x]
postfix/smtpd[22469]: disconnect from unknown[x.x.x.x]
这意味着 Fail2Ban 无法再监控所有 SASL 身份验证尝试。我该怎么做?
我想到的一个解决方案是使 SMTP 更加详细(附加-v到smtpdin /etc/postfix/master.cf)并解析适当的行,但我的问题是该-v选项使日志过于详细:
postfix/smtpd[23185]: connect from unknown[x.x.x.x]
postfix/smtpd[23185]: match_list_match: x.x.x.x: no match
postfix/smtpd[23185]: match_list_match: x.x.x.x: no match
postfix/smtpd[23185]: match_hostaddr: x.x.x.x ~? 127.0.0.0/8
postfix/smtpd[23185]: match_hostaddr: x.x.x.x ~? [::ffff:127.0.0.0]/104
postfix/smtpd[23185]: match_hostaddr: x.x.x.x ~? [::1]/128
postfix/smtpd[23185]: match_list_match: x.x.x.x: no match
postfix/smtpd[23185]: send attr ident = smtp:x.x.x.x
postfix/smtpd[23185]: > unknown[x.x.x.x]: 220 example.org ESMTP Postfix (Debian/GNU)
postfix/smtpd[23185]: < unknown[x.x.x.x]: EHLO User
postfix/smtpd[23185]: match_list_match: x.x.x.x: no match
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250-example.org
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250-PIPELINING
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250-SIZE 10240000
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250-VRFY
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250-ETRN
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250-STARTTLS
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250-ENHANCEDSTATUSCODES
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250-8BITMIME
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250 DSN
postfix/smtpd[23185]: < unknown[x.x.x.x]: RSET
postfix/smtpd[23185]: > unknown[x.x.x.x]: 250 2.0.0 Ok
postfix/smtpd[23185]: < unknown[x.x.x.x]: AUTH LOGIN
postfix/smtpd[23185]: > unknown[x.x.x.x]: 503 5.5.1 Error: authentication not enabled
postfix/smtpd[23185]: < unknown[x.x.x.x]: QUIT
postfix/smtpd[23185]: > unknown[x.x.x.x]: 221 2.0.0 Bye
postfix/smtpd[23185]: match_hostaddr: x.x.x.x ~? 127.0.0.0/8
postfix/smtpd[23185]: match_hostaddr: x.x.x.x ~? [::ffff:127.0.0.0]/104
postfix/smtpd[23185]: match_hostaddr: x.x.x.x ~? [::1]/128
postfix/smtpd[23185]: match_list_match: x.x.x.x: no match
postfix/smtpd[23185]: send attr ident = smtp:x.x.x.x
postfix/smtpd[23185]: disconnect from unknown[x.x.x.x]
首先,我只需要过滤该authentication not enabled行。是否可以让 SMTP 服务报告身份验证请求而不添加整个详细消息?理想情况下,我的mail.log文件只包含:
postfix/smtpd[32591]: connect from unknown[x.x.x.x]
postfix/smtpd[32591]: warning: unknown[x.x.x.x]: authentication not enabled
postfix/smtpd[32591]: disconnect from unknown[x.x.x.x]
这是可能的吗?如果是,怎么做?谢谢,
答案1
-v您添加的想法smtpd帮助我解决了这个问题。我在使用 Debian。
首先我创建/etc/fail2ban/jail.local:
[postfix]
enabled = true
logpath = /var/log/mail.log
bantime = 86400
findtime = 86400
maxretry = 2
这意味着在 24 小时内最多fail2ban可以观看/var/log/mail.log2 次,这也会导致 24 小时的禁令。
然后我复制/etc/fail2ban/filter.d/postfix.conf到/etc/fail2ban/filter.d/postfix.local,并添加了这一行:
failregex = ^%(__prefix_line)s> \S+\[<HOST>\]: 503 5\.5\.1 .*$
这将触发:
postfix/smtpd[23185]: > unknown[x.x.x.x]: 503 5.5.1 Error: authentication not enabled
更新(2021 年 10 月):
以上内容在 fail2ban 0.9.6 中运行良好。但是,fail2ban 0.10.2 稍微改变了 postfix.conf 的布局。
要修复此问题,请再次将新内容复制到/etc/fail2ban/filter.d/postfix.conf。/etc/fail2ban/filter.d/postfix.local在此.local文件中,编辑普通的节如下:
mdpr-normal = (?:NOQUEUE: reject:|improper command pipelining after \S+|>)
mdre-normal=^RCPT from [^[]*\[<HOST>\]%(_port)s: 55[04] 5\.7\.1\s
^RCPT from [^[]*\[<HOST>\]%(_port)s: 45[04] 4\.7\.1 (?:Service unavailable\b|Client host rejected: cannot find your (reverse )?hostname\b)
^RCPT from [^[]*\[<HOST>\]%(_port)s: 450 4\.7\.1 (<[^>]*>)?: Helo command rejected: Host not found\b
^EHLO from [^[]*\[<HOST>\]%(_port)s: 504 5\.5\.2 (<[^>]*>)?: Helo command rejected: need fully-qualified hostname\b
^VRFY from [^[]*\[<HOST>\]%(_port)s: 550 5\.1\.1\s
^RCPT from [^[]*\[<HOST>\]%(_port)s: 450 4\.1\.8 (<[^>]*>)?: Sender address rejected: Domain not found\b
^from [^[]*\[<HOST>\]%(_port)s:?
^[^[]*\[<HOST>\]: 503 5\.5\.1 Error: authentication not enabled\b
注意添加|>至mdpr-normal。
在 中/etc/fail2ban/jail.local,添加mode = normal到[postfix]部分。
并且不要忘记在-v指令smtp中添加/etc/postfix/master.cf:
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (no) (never) (100)
# ==========================================================================
smtp inet n - y - - smtpd -v
重新启动您的服务,然后您就可以开始了。