ฉันกำลังพยายามหยุดการโจมตีและเข้าสู่ระบบด้วย การตรวจสอบความถูกต้องของ SASL LOGIN ล้มเหลว สำหรับเมลเซิร์ฟเวอร์ของฉัน อย่างไรก็ตาม ฉันพยายามมาหนึ่งวันแล้วและก็ยังไม่สามารถทำได้ บันทึกยังคงสร้างการโจมตีด้วย IP เดียวกัน

เครื่องจักร

เซิร์ฟเวอร์ Linux 5.4.0-109-generic #123-Ubuntu SMP วันศุกร์ที่ 8 เมษายน 09:10:54 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

จดหมายเข้าสู่ระบบ /var/log/mail.log

28 เม.ย. 20:45:23 เซิร์ฟเวอร์ postfix/smtpd[112579]: เชื่อมต่อจากที่ไม่รู้จัก[5.34.207.81]
28 เมษายน 20:45:24 เซิร์ฟเวอร์ postfix/smtpd[112409]: คำเตือน: ไม่รู้จัก [5.34.207.81]: การตรวจสอบสิทธิ์ SASL LOGIN ล้มเหลว: การตรวจสอบสิทธิ์ล้มเหลว
28 เม.ย. 20:45:25 เซิร์ฟเวอร์ postfix / smtpd [112409]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก [5.34.207.81] ehlo=1 auth=0/1 rset=1 exit=1 commands=3/4
28 เม.ย. 20:45:30 เซิร์ฟเวอร์ postfix/smtpd[112599]: เชื่อมต่อจากที่ไม่รู้จัก[5.34.207.81]
28 เม.ย. 20:45:31 เซิร์ฟเวอร์ postfix / smtpd [112579]: คำเตือน: ไม่รู้จัก [5.34.207.81]: การตรวจสอบสิทธิ์ SASL LOGIN ล้มเหลว: การตรวจสอบสิทธิ์ล้มเหลว
28 เม.ย. 20:45:32 เซิร์ฟเวอร์ postfix / smtpd [112579]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก [5.34.207.81] ehlo=1 auth=0/1 rset=1 exit=1 commands=3/4
28 เม.ย. 20:45:36 เซิร์ฟเวอร์ postfix/smtpd[112409]: เชื่อมต่อจากที่ไม่รู้จัก[5.34.207.81]
28 เม.ย. 20:45:38 เซิร์ฟเวอร์ postfix / smtpd [112599]: คำเตือน: ไม่รู้จัก [5.34.207.81]: การตรวจสอบสิทธิ์ SASL LOGIN ล้มเหลว: การตรวจสอบสิทธิ์ล้มเหลว
28 เม.ย. 20:45:38 เซิร์ฟเวอร์ postfix / smtpd [112599]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก [5.34.207.81] ehlo=1 auth=0/1 rset=1 exit=1 commands=3/4

Fail2Ban ด้วย IPtables

/etc/fail2ban/jail.local

[postfix-sasl]

เปิดใช้งาน = จริง
พอร์ต = smtp,ssmtp,465,การส่ง,imap,imaps,pop3,pop3s

แบนไทม์ = 10m
ตัวกรอง = postfix-sasl
#action = iptables-multiport[ชื่อ=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s", protocol=tcp]
logpath = /var/log/mail.log
สูงสุด = 15

ฉันทำ บริการ sudo ล้มเหลว 2 แบนรีสตาร์ท และสิ่งที่สายก็คือฉันไม่เห็นมีโซ่ด้วย f2b-postfix.

grep ก็เช่นกัน ล้มเหลว 2 แบน บันทึกและนี่คือผลลัพธ์:

Fail2Ban เข้าสู่ระบบ /var/log/fail2ban.log

2022-04-27 16:27:10,133 fail2ban.actions [567]: ประกาศ [postfix-sasl] เลิกแบน 5.34.207.81
2022-04-27 16:27:45,391 fail2ban.actions [567]: ประกาศ [postfix-sasl] แบน 5.34.207.81
2022-04-27 16:32:17,801 fail2ban.actions [567]: ประกาศ [postfix-sasl] เลิกแบน 212.70.149.72
2022-04-27 22:37:46,299 fail2ban.actions [567]: ประกาศ [postfix-sasl] เลิกแบน 5.34.207.81

Fail2Ban กับ UFW

จากการวิจัยของฉัน ฉันเข้าใจว่า Fail2Ban สามารถทำงานร่วมกับ UFW ได้ ดังนั้นฉันจึงทำการวิจัยเพื่อสิ่งนี้ และนี่คือการกำหนดค่าของฉัน:

/etc/fail2ban/jail.local

[postfix-sasl]

เปิดใช้งาน = จริง
วารสารตรงกัน =
แบ็กเอนด์ = การสำรวจ
แบนไทม์ = -1 // แบนถาวร? อาจจะ 
ตัวกรอง = postfix-sasl
logpath = /var/log/mail.log
สูงสุด = 15
banaction = ufw
หาเวลา = 120

คุ้มค่าที่จะกล่าวถึงว่าฉันได้ป้อนข้อมูลด้วยตนเอง sudo ufw แทรก 1 ปฏิเสธจาก 5.34.207.81 เป็นใดๆ กับ sudo ufw โหลดซ้ำ แต่น่าเสียดายที่ฉันยังสามารถเห็นการโจมตีจาก IP เดียวกันที่เมลล็อกอิน /var/log/mail.log

สถานะ: ใช้งานอยู่

ถึงการดำเนินการจาก
-- ------ ----
ทุกที่ปฏิเสธ 212.70.149.72             
ทุกที่ปฏิเสธ 5.34.207.81

กรองทั้งสองอย่างใน Fail2Ban

/etc/fail2ban/filter.d/postfix-sasl.conf

[รวมถึง]
ก่อน = Common.conf

[คำนิยาม]
_daemon = การแก้ไขภายหลัง/smtpd
Failregex = ^(.*)\[<HOST>\]: การรับรองความถูกต้อง SASL (?:LOGIN|PLAIN) ล้มเหลว:(.*)$
ละเว้นregex =

ทรัพยากร: Fail2ban กับ UFW

ขอบคุณถ้ามีคนสามารถช่วยฉันได้!