Всегда было возможно включать несколько подстановочных знаков в SN/SAN, но большинство браузеров добавило поддержку их в последние несколько лет (во время, которое этот вопрос первоначально задали). Теперь, Вы должны испытать мало затруднений при нахождении Центра сертификации, который выпустит такой сертификат, и большинство клиентов должно принять его.
Я бы посоветовал вам использовать HIDS, например OSSEC , для временной блокировки IP-адресов, которые пытались войти в систему. Вы также можете добавить правило в OSSEC, чтобы исключить ваши доверенные сети из этого правила, чтобы законные пользователи не были заблокированы после нескольких попыток.
Я предлагаю это, поскольку не думаю, что Postfix действительно может дополнить my_networks и SASL.
Как насчет того, чтобы поставить SMTP AUTH на другой порт, например 587, и использовать iptables для ограничения доступа к этому порту? 587 - это не скрытый порт, это порт отправки почты, определенный RFC. Почта к вам приходит 25, почта через вас должна идти через 587.
Вы хотите использовать отрицательную форму smtpd_sasl_exceptions_networks
.
smtpd_sasl_exceptions_networks =! 134.500.0.0/16! 134.700.42.0/24! 134.800.133.7
Вас также может заинтересовать smtpd_client_connection_985]. [117] 1285_limit [117]
Есть тысячи неудачных , незаконные попытки входа в систему каждый день с IP-адресов со всего мира.
установите fail2ban и настройте существующий или создайте новый фильтр для их перехвата. Я использую:
failregex =\[<HOST>\]\: SASL LOGIN authentication failed