Это могло бы помочь: Блокирование атак перебором аутентификации SMTP с помощью Fail2Ban
Sendmail регистрируется к LOG_MAIL
средство, которое обычно отправляется во что-то как /var/log/mail
или /var/log/maillog
, В зависимости от Вашей операционной системы. Консультируйтесь со своим локальным /etc/syslog.conf
для деталей. Можно найти что-то полезным там.
Если это не работает, можно использовать tcpdump
узнать, кто соединяется с Вашей системой. Если Вы выполняете его как это:
# tcpdump -i <interface> -n port 25
Вы получите список трафика в порте 25, который будет выглядеть примерно так:
15:41:07.974013 IP 192.168.1.20.58973 > 192.168.1.20.25: Flags [S], seq 3814195426, win 65535, options [mss 16344,nop,wscale 3,sackOK,TS val 393331165 ecr 0], length 0
15:41:07.974041 IP 192.168.1.20.25 > 192.168.1.20.58973: Flags [S.], seq 538844273, ack 3814195427, win 65535, options [mss 16344,nop,wscale 3,sackOK,TS val 3794784629 ecr 393331165], length 0
Это - метка времени, затем протокол, затем исходный IP-адрес, затем целевой IP-адрес. Это должно дать Вам, в чем Вы нуждаетесь.
Вы могли также получить что-то подобное использование netstat
команда:
netstat -an | grep :25
Это должно показать соединения на порте 25 в Вашей локальной системе.
Существует множество механизмов или для ограничения уровня smtp соединения на исходный адрес или для блокирующихся адресов с высоким показателем ошибок аутентификации. Можно использовать iptables
для первого или чего-то как fail2ban для последнего.
Необходимо увеличить LogLevel до 10 или больше. Посмотрите в sendmail.mc или поместите, чему-то нравится, определяют (confLOG_LEVEL',
10') dnl
Это зарегистрирует IP-адрес в подлинные отказы.
это немного поздно, но я вполне уверен, что saslauthd не регистрирует IP-адрес из-за некоторых ограничений в библиотеке saslauthd и ее реализации.
Однако, насколько мне известно , Sendmail ДЕЙСТВИТЕЛЬНО записывает IP-адрес, и вместо этого вы можете указать fail2ban, написав правило для Sendmail вместо использования предоставленной тюрьмы saslauthd.
Я обнаружил, что в /var/log/mail.log есть соответствующие записи журнала, которые содержат IP-адрес злоумышленника и поэтому могут быть заблокированы с помощью fail2ban (по крайней мере, в Ubuntu 14.04). Попробуйте выполнить поиск по запросу «Ошибка аутентификации SASL LOGIN».