Вопросы Теги

На помощь! Сервер Linux под SMTP нападение SASLAUTHD!

В этом случае я использовал бы отдельную сеть (сегмент / VLAN) для NAS.

Мы даже делаем это с нашим NetApp, хотя для производительности и Поддержки крупных кадров.

2
задан 16 June 2011 в 22:36
5 ответов

Sendmail регистрируется к LOG_MAIL средство, которое обычно отправляется во что-то как /var/log/mail или /var/log/maillog, В зависимости от Вашей операционной системы. Консультируйтесь со своим локальным /etc/syslog.conf для деталей. Можно найти что-то полезным там.

Если это не работает, можно использовать tcpdump узнать, кто соединяется с Вашей системой. Если Вы выполняете его как это:

# tcpdump -i <interface> -n port 25

Вы получите список трафика в порте 25, который будет выглядеть примерно так:

15:41:07.974013 IP 192.168.1.20.58973 > 192.168.1.20.25: Flags [S], seq 3814195426, win 65535, options [mss 16344,nop,wscale 3,sackOK,TS val 393331165 ecr 0], length 0
15:41:07.974041 IP 192.168.1.20.25 > 192.168.1.20.58973: Flags [S.], seq 538844273, ack 3814195427, win 65535, options [mss 16344,nop,wscale 3,sackOK,TS val 3794784629 ecr 393331165], length 0

Это - метка времени, затем протокол, затем исходный IP-адрес, затем целевой IP-адрес. Это должно дать Вам, в чем Вы нуждаетесь.

Вы могли также получить что-то подобное использование netstat команда:

netstat -an | grep :25

Это должно показать соединения на порте 25 в Вашей локальной системе.

Существует множество механизмов или для ограничения уровня smtp соединения на исходный адрес или для блокирующихся адресов с высоким показателем ошибок аутентификации. Можно использовать iptables для первого или чего-то как fail2ban для последнего.

0
ответ дан 3 December 2019 в 09:23

Необходимо увеличить LogLevel до 10 или больше. Посмотрите в sendmail.mc или поместите, чему-то нравится, определяют (confLOG_LEVEL',10') dnl

Это зарегистрирует IP-адрес в подлинные отказы.

2
ответ дан 3 December 2019 в 09:23

это немного поздно, но я вполне уверен, что saslauthd не регистрирует IP-адрес из-за некоторых ограничений в библиотеке saslauthd и ее реализации.

Однако, насколько мне известно , Sendmail ДЕЙСТВИТЕЛЬНО записывает IP-адрес, и вместо этого вы можете указать fail2ban, написав правило для Sendmail вместо использования предоставленной тюрьмы saslauthd.

0
ответ дан 3 December 2019 в 09:23

Я обнаружил, что в /var/log/mail.log есть соответствующие записи журнала, которые содержат IP-адрес злоумышленника и поэтому могут быть заблокированы с помощью fail2ban (по крайней мере, в Ubuntu 14.04). Попробуйте выполнить поиск по запросу «Ошибка аутентификации SASL LOGIN».

1
ответ дан 3 December 2019 в 09:23

Теги

Похожие вопросы