我已经设置了一个运行良好的 VPS。我正在使用 Postfix 服务器通过 PHP 发送电子邮件。我刚刚检查了日志文件,发现我的服务器每 2-3 秒就会收到一个连接请求或连接到不同的主机。
这是正常现象吗?我不知道 hosted-by.blazingfast.io 主机名是什么。这是安全的还是被恶意软件感染了?我的 VPS 托管在 digitalocean 上。
答案1
您的日志充满了包含以下内容的序列:
- 连接从
- SASL 身份验证失败
- AUTH 后失去连接从
- 断开从。
这些是传入连接。例如,每个邮件服务器在某个时候都会遇到这种暴力登录尝试。这不是您在日志中看到的唯一内容。只需确保您有合适的Postfix SMTP 中继和访问控制处理互联网为 SMTP 服务器带来的所有不良影响。最重要的是避免将您的邮件服务器配置为开放中继,这也会导致恶意的出站连接。
对于这个特定问题,您可以使用失败禁止暂时禁止此类 IP 地址。教程,但maxretry = 3在这种情况下使用也很容易导致真实用户被禁止。我建议:
[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log
maxretry = 7
至少在 Debian 中,postfix-sasl.conf已经预定义failregex了这些身份验证失败。
答案2
机器人试图验证您的邮件服务器的身份,可能是为了发送垃圾邮件。这对于面向互联网的邮件服务器来说是正常现象,只要您的服务器得到适当的保护,您就无需担心。