Postfix

為什麼我的 postfix 伺服器經常連接到外部 IP?

  • December 9, 2018

我已經設置了一個執行良好的 VPS。我正在使用 postfix 伺服器使用 PHP 發送電子郵件。我只是在檢查日誌文件,我注意到我的伺服器每 2-3 秒收到一個連接請求或連接到不同的主機。

終端中tail命令的螢幕截圖。

這是正常行為嗎?我不知道hosted-by.blazingfast.io 主機名是什麼。這是安全的還是被惡意軟體感染了?我的 VPS 託管在 digitalocean 上。

您的日誌中充滿了包含以下內容的序列:

  1. 連接
  2. SASL 身份驗證失敗
  3. AUTH後失去連接
  4. 斷開連接**。**

這些是傳入連接。例如,每個郵件伺服器都會在某些時候進行這種蠻力登錄嘗試。這不是您在日誌中看到的唯一內容。只需確保您有合適的Postfix SMTP 中繼和訪問控制來處理 Internet 必須為 SMTP 伺服器提供的所有不良資訊。最重要的是避免將您的郵件伺服器配置為開放中繼,這也會導致惡意出站連接。

對於這個特定問題,您可以使用Fail2Ban暫時禁止此類 IP 地址。教程很多,但是maxretry = 3用在這個教程裡也很容易導致真實使用者被封號。我建議:

[postfix]
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry  = 7

至少在 Debian 中,postfix-sasl.conf已經failregex為這些認證失敗預定義了。

引用自:https://serverfault.com/questions/943532