[postfix-users] Postfix saslauthd Attacke

Mi Mär 2 10:12:45 CET 2011

* j.burbach at jo-it.net <j.burbach at jo-it.net>:
> Hallo an alle,
> 
> seit Sonntag werden einige Mailserver gleichzeitig minütlich attackiert.
> Weis nicht wie ich das Beschreiben soll.
> Es versucht jemand Postfachnamen zu ermitteln um die Server als Mailrelay zu missbrauchen.
> 
> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> Mar  2 08:03:34 in1 saslauthd[4025]: pam_mysql - SELECT returned no result.
> Mar  2 08:03:34 in1 saslauthd[4025]: DEBUG: auth_pam: pam_authenticate failed: User not known to the underlying authentication module
> Mar  2 08:03:34 in1 saslauthd[4025]: do_auth         : auth failure: [user=new] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> Mar  2 08:03:34 in1 postfix/smtpd[26629]: warning: mail.ruralkent.org.uk[94.101.144.2]: SASL LOGIN authentication failed: authentication failure
> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> 
> Gibt es eine Möglichkeit das der Postfix solche Attacken automatisch in eine Blacklist aufnimmt?

fail2ban installieren und auf SASL Fehler reagieren lassen

p at rick


-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3603 bytes
Desc: not available
URL: <http://de.postfix.org/pipermail/postfix-users/attachments/20110302/6176005d/attachment.bin>