sendmail SMTP認証ロギングを制御する方法は何ですか？

Question

ここのセッションは、メール転送エージェントと次に区別されますsaslauthd。

testhost saslauthd[17177]: do_auth         : auth failure:
  [user=AzureDiamond] [service=smtp] [realm=] [mech=pam]
  [reason=PAM auth error]

必要なログ全体をデフォルトで使用できないか、一部のログ集約サービスで再構成する必要があります。（Postfixを使用するとロギングもひどいですsaslauthd。一部のログはメールログに残り、他のログは別の場所に表示されます。）Sendmailはカスタムsyslogルールをサポートしています。ただし、クライアントが、、、、EHLO nurse失敗（配信または単に切断）のみを発行した場合。 ) 一般的なルールセットフックを実行する機会を提供しない場合があります。AUTH LOGINQXp1cmVEaWFtb25kSHVudGVyMg==quit

11（またはそれ以上）に達すると、LogLevelリレーアドレスを含むログインが失敗します。

testhost sendmail[20684]: wA6KuRRJ020684: AUTH failure
  (LOGIN): authentication failure (-13) SASL(-13):
  authentication failure: checkpass failed,
  relay=localhost [127.0.0.1]

これはsendmail/srvrsmtp.c次の時点で発生しますLogLevel > 9。あるいは、増加を避けるためにファイルをパッチすることもできますが、LogLevelこれは他の問題を引き起こす可能性があります。

SMTP AUTHを制限する他の方法は次のとおりです。

pamは特定のグループを制限します

PAM設定を調整し、SMTP AUTHユーザーが特定のグループに属していない限り無効にします。これはほとんどのパスワード推測攻撃を防ぎますが、少数の予測可能なユーザーしか使用する必要がない場合は可能ですSMTP AUTH。

account     required      pam_access.so accessfile=/etc/security/smtp_access.conf

それから/etc/security/smtp_access.conf

+ : ok-sasl : ALL
- : ALL : ALL

次に、ユーザーをok-saslグループに入れます。

SMTP AUTHサービスを隠す

別のオプションは、インターネット上でサービスを利用できないように、VPNなどをSMTPの前に配置することです。これにより、現在のパブリックサービスが受信するログノイズが減少します。

pam_tally

私もそれを試しましたが、pam_tally2ログイン時に明白なエラーがない合法的なアカウントを含むアカウントをロックするのに役立ちます。

Answer 1

ここのセッションは、メール転送エージェントと次に区別されますsaslauthd。

testhost saslauthd[17177]: do_auth         : auth failure:
  [user=AzureDiamond] [service=smtp] [realm=] [mech=pam]
  [reason=PAM auth error]

必要なログ全体をデフォルトで使用できないか、一部のログ集約サービスで再構成する必要があります。（Postfixを使用するとロギングもひどいですsaslauthd。一部のログはメールログに残り、他のログは別の場所に表示されます。）Sendmailはカスタムsyslogルールをサポートしています。ただし、クライアントが、、、、EHLO nurse失敗（配信または単に切断）のみを発行した場合。 ) 一般的なルールセットフックを実行する機会を提供しない場合があります。AUTH LOGINQXp1cmVEaWFtb25kSHVudGVyMg==quit

11（またはそれ以上）に達すると、LogLevelリレーアドレスを含むログインが失敗します。

testhost sendmail[20684]: wA6KuRRJ020684: AUTH failure
  (LOGIN): authentication failure (-13) SASL(-13):
  authentication failure: checkpass failed,
  relay=localhost [127.0.0.1]

これはsendmail/srvrsmtp.c次の時点で発生しますLogLevel > 9。あるいは、増加を避けるためにファイルをパッチすることもできますが、LogLevelこれは他の問題を引き起こす可能性があります。

SMTP AUTHを制限する他の方法は次のとおりです。

pamは特定のグループを制限します

PAM設定を調整し、SMTP AUTHユーザーが特定のグループに属していない限り無効にします。これはほとんどのパスワード推測攻撃を防ぎますが、少数の予測可能なユーザーしか使用する必要がない場合は可能ですSMTP AUTH。

account     required      pam_access.so accessfile=/etc/security/smtp_access.conf

それから/etc/security/smtp_access.conf

+ : ok-sasl : ALL
- : ALL : ALL

次に、ユーザーをok-saslグループに入れます。

SMTP AUTHサービスを隠す

別のオプションは、インターネット上でサービスを利用できないように、VPNなどをSMTPの前に配置することです。これにより、現在のパブリックサービスが受信するログノイズが減少します。

pam_tally

私もそれを試しましたが、pam_tally2ログイン時に明白なエラーがない合法的なアカウントを含むアカウントをロックするのに役立ちます。

sendmail SMTP認証ロギングを制御する方法は何ですか？

ベストアンサー1

pamは特定のグループを制限します

SMTP AUTHサービスを隠す

pam_tally

おすすめ記事