Postfixが特定のクライアントの接続試行を拒否しないのはなぜですか?

tag-icon tag-icon firewall postfix smtp sasl
Postfixが特定のクライアントの接続試行を拒否しないのはなぜですか?

私のSMTPサーバーが調査中です。パスワード辞書を確認するSASLに無差別代入を追加するようです。

ログファイルでこのような行を何千もの見ました。

Sep 18 14:09:52 xxx postfix/smtpd[7412]: connect from ca255.calcit.fastwebserver.de[146.0.42.124]
Sep 18 14:09:55 xxx postfix/smtpd[7412]: warning: ca255.calcit.fastwebserver.de[146.0.42.124]: SASL LOGIN authentication failed: authentication failure
Sep 18 14:09:55 xxx postfix/smtpd[7412]: lost connection after AUTH from ca255.calcit.fastwebserver.de[146.0.42.124]
Sep 18 14:09:55 xxx postfix/smtpd[7412]: disconnect from ca255.calcit.fastwebserver.de[146.0.42.124]

main.cfを次のように修正しました。

inet_interfaces = all
smtpd_sasl_auth_enable=yes
smtpd_helo_required = yes
smtpd_sender_restrictions = reject_unknown_address

smtpd_client_restrictions =  check_client_access hash:/etc/postfix/maps/access_client,
                             permit_mynetworks,
                             reject

smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/maps/access_client,
                               permit_mynetworks,
                               reject_non_fqdn_sender,
                               reject_non_fqdn_recipient,
                               reject_unknown_sender_domain,
                               reject_unknown_recipient_domain,
                               permit_sasl_authenticated,
                               reject_unauth_pipelining,
                               reject_unauth_destination,
                               reject_rbl_client zen.spamhaus.org,
                               reject_rbl_client list.dsbl.org
                               permit

broken_sasl_auth_clients = yes

私の/etc/postfix/maps/access_clientには次の行しかありません。

146.0.42.124 REJECT

ただし、postfix を再起動した後でも動作に変化がなく、同じエラーが表示されるため、SASL は確認を続けます。これらの設定と考えましたが、クライアントはSASLが開始される前にIPアドレスに基づいて拒否されます。遊ぶ?

2番目の問題は、内部ネットワークのあるシステムから別のシステムへのメールトラフィックを中継していることです。 - リレー専用システムの「relayhost」設定を除いて、残りのサフィックス設定を同じに保つことはできますか?

ベストアンサー1

特定のIPまたはIP範囲に対してSASL AUTHを無効にする場合いいえ副作用smtpd_delay_reject = no、確認してくださいsmtpd_discard_ehlo_keyword_address_mapsキーワード。構成例と指示:

構成

まず、次のキーワードを設定します/etc/postfix/main.cf

smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/esmtp_cidr

/etc/postfix/esmtp_cidrここで、(指定したファイル)にブラックリストを定義します。

# /etc/postfix/esmtp_cidr
91.200.12.0/24  auth
155.133.82.77   auth
146.0.42.124    auth

リストファイルなので実行するcidr:必要はありません。postmapただし、Postfixに設定を再ロードするように指示する必要があります。

service postfix reload

説明する

どういう意味ですか?指定されたアドレス(この場合はIP全体またはIP範囲)に対してPostfixに特定のESMTP機能を無効にするように指示しますAUTH。これは、そのホストがSASLを使用できなくなったことを意味します。ログを確認してみましょう。

Aug 11 22:37:39 xxx postfix/smtpd[32630]: connect from unknown[91.200.12.98]
Aug 11 22:37:39 xxx postfix/smtpd[32630]: discarding EHLO keywords: AUTH
Aug 11 22:37:39 xxx postfix/smtpd[32630]: lost connection after AUTH from unknown[91.200.12.98]
Aug 11 22:37:39 xxx postfix/smtpd[32630]: disconnect from unknown[91.200.12.98]

したがって、使用しなくても必要なものを得ることsmtpd_delay_reject = noができるので、後者の副作用を心配する必要はありません。

注:同様に、クライアントがパイプやstarttlsなどの他のESMTP機能を使用しないように無効にすることができます。たとえば、利用可能なキーワードのリストを見つけることができます。このウィキペディアの記事で。を除いてsmtpd_sasl_Exceptions_networks、これらのキーワードは公開されないだけでなく、ログに示されているようにまったく許可されません。

おすすめ記事