Как управляется записью аутентификации SendMail SMTP?
Параметры - репозиторий или - root могут работать как альтернатива параметру - p в SLES11.
-r, --repository REPOSITORY
change password in REPOSITORY repository
-R, --root CHROOT_DIR
Apply changes in the CHROOT_DIR directory and use the configuration
files from the CHROOT_DIR directory.
Сеанс здесь разделен между агентом транспорта почты, а такжеsaslauthd:
testhost saslauthd[17177]: do_auth : auth failure:
[user=AzureDiamond] [service=smtp] [realm=] [mech=pam]
[reason=PAM auth error]
Полный журнал того, что вам нужно, может быть недоступен по умолчанию или потребует реконструкции в какой-либо службе агрегирования журналов. (Журналирование в Postfix также плохое при использовании saslauthd; некоторые из журналов попадают в почтовые журналы, а другие - в другие места. )Sendmail поддерживает настраиваемые правила системного журнала; однако, если клиент выдает только EHLO nurse, AUTH LOGIN, QXp1cmVEaWFtb25k, SHVudGVyMg==, а затем терпит неудачу (с quitили просто сбрасывает соединение ), что может не дать ни одного из обычных набор правил перехватывает шанс запуска.
Когда значение LogLevelустановлено на 11 (или выше ), в журнале возникает ошибка, которая не включает адрес реле:
testhost sendmail[20684]: wA6KuRRJ020684: AUTH failure
(LOGIN): authentication failure (-13) SASL(-13):
authentication failure: checkpass failed,
relay=localhost [127.0.0.1]
Это происходит от sendmail/srvrsmtp.cи происходит, когда LogLevel > 9. Или вы можете исправить этот файл, чтобы избежать увеличения LogLevel, но это может привести к другим проблемам.
Ниже приведены другие способы ограничения SMTP AUTH.
ограничение pam для определенной группы
Настройте конфигурацию PAM и запретите SMTP AUTH, если пользователь не принадлежит к определенной группе; это предотвратит большинство атак с подбором пароля, хотя это жизнеспособно, если только небольшое и предсказуемое подмножество ваших пользователей должно использоватьSMTP AUTH:
account required pam_access.so accessfile=/etc/security/smtp_access.conf
, а затем в/etc/security/smtp_access.conf
+ : ok-sasl : ALL
- : ALL : ALL
, а затем поместите пользователей в группу ok-sasl.
скрыть службу SMTP AUTH
Другим вариантом может быть установка VPN или чего-то подобного перед SMTP, чтобы эта служба была просто недоступна для Интернета; это должно снизить уровень шума от бревен, -который в наши дни поступает в общественные -службы.
пам _подсчет
Я также пытался pam_tally2, но это было очень хорошо для блокировки учетных записей, включая законные учетные записи, которые вошли в систему без каких-либо явных ошибок... может быть, это сработает лучше для вас?
У меня есть решение, которое немного помогает. Сообщения, которые вы перечисляете, выглядят так же, как те, которые приходят из /var/log/secure (, по крайней мере, на RedHat/Centos ).
Как вы заметили, IP-адреса отсутствуют, поэтому с этими записями вы мало что можете сделать.
Однако загляните в /var/log/maillog, и вы найдете записи вида:
Apr 11 13:58:48 alpha sendmail[23712]: x3BKwjij023712: [118.24.45.165] did not issue MAIL/EXPN/VRFY/ETRN during connection to MSA
Это соединения, которые пытаются выполнить AUTH (или два раза ), терпят неудачу и отключаются. Существует почти 100% корреляция между этими сообщениями и сообщениями pam в /var/log/secure.
Я использую их в качестве входных данных для джейла fail2ban. Однократное появление приводит к бану, потому что многие автоматизированные системы используют адресное пространство полного класса C (или /24, если вы предпочитаете адресное пространство ), и проходит довольно много времени, прежде чем вы снова увидите этот адрес.
В настоящее время кто-то/что-то использует ботнет с разбросанными повсюду IP-адресами. Кажется, что они повторяются только через несколько дней, иногда никогда. В итоге вы получите МНОГО записей fail2ban. Но это лучше, чем ничего не делать.
К сожалению, ответ, похоже, заключается в том, что с помощью sendmail и cyrus -sasl нет никакого контроля. Sendmail, похоже, отправляет информацию на sasl, и cyrus -sasl ничего с ней не делает, и точно так же sendmail ничего не делает после сбоя аутентификации.
Приведенные выше ответы Трига могут оказаться полезными для других, и, возможно, однажды кто-нибудь увидит это и даст лучший ответ.