การเชื่อมต่อ Postfix หายไปหลังจาก AUTH

เมื่อดูที่บันทึกในเมลเซิร์ฟเวอร์ของฉันฉันพบข้อความดังต่อไปนี้:

Nov 29 12:09:38 mta postfix/smtpd[8362]: connect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8362]: disconnect from unknown[183.13.165.14]
Nov 29 12:09:39 mta postfix/smtpd[8409]: connect from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: lost connection after AUTH from unknown[183.13.165.14]
Nov 29 12:09:40 mta postfix/smtpd[8409]: disconnect from unknown[183.13.165.14]

ไม่มีความล้มเหลวของ SASL ในกรณีเหล่านี้ มีความล้มเหลว SASL จะถูกบันทึกไว้ในเวลาอื่น ๆ มี lost connection after AUTHแต่ไม่เคยมี

เกิดอะไรขึ้นที่นี่และฉันควรทำอะไรเกี่ยวกับเรื่องนี้?
สิ่งเหล่านี้ไม่ใช่ MX และได้smtpd_client_connection_rate_limitตั้งค่าไว้แล้ว

อาจเกี่ยวข้องกับ:
ระบบต้องการ SMTPS หรือ STARTTLS ก่อนที่จะมีการประกาศ AUTH

นี่คือบ็อตเน็ตจากประเทศจีนที่เชื่อมต่อกับกล่องของคุณพยายามส่งสแปม แต่บอทนั้นโง่เกินกว่าจะรู้ว่าต้องทำอย่างไรเมื่อถูกบอกให้พิสูจน์ตัวตน บอทเพียงแค่หยุดส่งจดหมายและยกเลิกการเชื่อมต่อเพื่อโจมตีเหยื่อรายต่อไป

ไม่มีอะไรต้องกังวลอย่างแน่นอน

ล็อกไฟล์ของฉันกำลังถูกเติมเต็มและมันเป็นเรื่องเสียของ cpu ที่ยอมให้มีการเชื่อมต่อจาก jerks เหล่านี้ ฉันสร้างfail2banกฎ

Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

เนื้อหาของ /etc/fail2ban/jail.conf

[postfix]
# Ban for 10 minutes if it fails 6 times within 10 minutes
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6
bantime  = 600
findtime = 600

เนื้อหาของ /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#

# Jul 11 02:35:08 mail postfix/smtpd[16299]: lost connection after AUTH from unknown[196.12.178.73]

failregex = lost connection after AUTH from unknown\[<HOST>\]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex = 

ในการsmtpd_recipient_restrictionsตั้งค่าreject_unknown_client_hostnameเช่นนี้:

smtpd_recipient_restrictions = reject_unknown_client_hostname

และสิ่งนี้จะส่งผลให้ปฏิเสธไคลเอนต์และบ็อตหลงทางหรือดัมเบิลซอมบี้ด้วยชื่อโฮสต์ที่ไม่รู้จัก บันทึกของคุณจะมีลักษณะเช่นนี้เมื่อตั้งค่า:

postfix/smtpd[11111]: NOQUEUE: reject: RCPT from unknown[183.13.165.14]: 450 4.7.1 Client host rejected: cannot find your hostname, [183.13.165.14]

ฉันไม่แน่ใจว่ามีอะไรที่น่าเป็นห่วงมากมายโดยทั่วไปลูกค้า / 'ใครบางคน' กำลังเชื่อมต่อกันออก AUTH และตัดการเชื่อมต่อด้วยตนเอง อาจเป็นความพยายามในการโพรบความสามารถของเซิร์ฟเวอร์จากไคลเอนต์อีเมล - หรือความพยายามที่จะกรณี daemon

ตราบใดที่คุณมีระบบรักษาความปลอดภัยที่เพียงพอมันก็เป็นเพียงแค่การกระแทกประตูจากโลกใบนี้