IP Adresse blockieren (Mailserver)

[Inanias]

Es ist grade eben nochmal passiert und ich glaube ich weiß jetzt was Sache ist:

Der Prozess hat sich wieder nach exakt 13 Versuchen verabschiedet und ich habe (endlich) gefunden, warum:
daemon_table_open_error_is_fatal

For the sake of sanity, the number of type "error" messages is limited to 13 over the lifetime of a daemon process.

Sieht für mich so aus, als wäre das der Grund.
Leider wird nicht erwähnt, was denn planmäßig passieren sollte und ich finde dazu auch nichts.
Aber Zufall wird das ja wohl kaum sein.

Über eine Lösung bin ich auch gestolpert:
Das smtpd_hard_error_limit setze ich von 20 auf 10 und das smtpd_soft_error_limit setze ich von 10 auf 5.
So wird die Verbindung abgebrochen, bevor das Limit erreicht wird.

smtpd_hard_error_limit = ${stress?1}${stress:10}
smtpd_soft_error_limit = 5

Ich habe diesmal natürlich eine Testmail versendet, sie kam ohne Probleme an (siehe Log).

Bei der Suche bin ich noch über drei Einstellungen gestolpert, die zwar nichts damit zu tun haben, aber denke ich trotzdem wiefolgt geändert gehören:

broken_sasl_auth_clients = no
smtpd_delay_reject = no
smtpd_helo_required = yes

@Green Mamba: Das dürfte ja für dich auch interresant sein.

Spoiler: Log

Mar  6 22:26:20 NAS postfix/smtpd[28735]: connect from unknown[58.117.96.12]
Mar  6 22:26:25 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:26 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=marketing) failed
Mar  6 22:26:26 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(marketing) failed
Mar  6 22:26:26 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:27 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=postmaster) failed
Mar  6 22:26:27 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(postmaster) failed
Mar  6 22:26:27 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:28 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=test) failed
Mar  6 22:26:28 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Mar  6 22:26:29 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:30 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=sales) failed
Mar  6 22:26:30 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(sales) failed
Mar  6 22:26:30 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:31 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=smtp) failed
Mar  6 22:26:31 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(smtp) failed
Mar  6 22:26:31 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:32 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=backup) failed
Mar  6 22:26:32 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(backup) failed
Mar  6 22:26:32 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:33 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=info) failed
Mar  6 22:26:33 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(info) failed
Mar  6 22:26:34 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:34 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=mail) failed
Mar  6 22:26:34 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(mail) failed
Mar  6 22:26:35 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:36 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=office) failed
Mar  6 22:26:36 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(office) failed
Mar  6 22:26:36 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:38 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=user) failed
Mar  6 22:26:38 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(user) failed
Mar  6 22:26:39 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:42 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=support) failed
Mar  6 22:26:42 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(support) failed
Mar  6 22:26:43 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:46 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=contact) failed
Mar  6 22:26:46 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(contact) failed
Mar  6 22:26:48 NAS postfix/smtpd[28735]: warning: unknown[58.117.96.12]: SASL LOGIN authentication failed: authentication failure
Mar  6 22:26:51 NAS postfix/smtpd[28735]: postfix: USERGetRealUsername(user=service) failed
Mar  6 22:26:51 NAS postfix/smtpd[28735]: error: ConvertFullUserName: SYNOUserLoginNameConvert(service) failed
Mar  6 22:26:51 NAS postfix/smtpd[28735]: fatal: too many errors - program terminated
Mar  6 22:26:52 NAS postfix/master[9429]: warning: process /var/packages/MailServer/target/libexec/smtpd pid 28735 exit status 1
Mar  6 22:26:52 NAS postfix/master[9429]: warning: /var/packages/MailServer/target/libexec/smtpd: bad command startup -- throttling
Mar  6 22:27:52 NAS postfix/smtpd[28772]: connect from mout.gmx.net[212.227.15.19]
Mar  6 22:27:52 NAS postfix/smtpd[28772]: Anonymous TLS connection established from mout.gmx.net[212.227.15.19]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Mar  6 22:27:52 NAS postfix/smtpd[28772]: ED8D63E0002: client=mout.gmx.net[212.227.15.19]
Mar  6 22:27:53 NAS postfix/cleanup[28775]: ED8D63E0002: message-id=<id>
Mar  6 22:27:53 NAS postfix/qmgr[28386]: ED8D63E0002: from=<gmx>, size=1098, nrcpt=1 (queue active)
Mar  6 22:27:53 NAS postfix/smtpd[28772]: disconnect from mout.gmx.net[212.227.15.19]
Mar  6 22:27:53 NAS dovecot: lda(edi): sieve: msgid=<id>: stored mail into mailbox 'INBOX'
Mar  6 22:27:53 NAS postfix/qmgr[28386]: ED8D63E0002: removed
Mar  6 22:27:53 NAS postfix/local[28776]: ED8D63E0002: to=<nas>, relay=local, delay=1.1, delays=0.56/0.07/0/0.5, dsn=2.0.0, status=sent (delivered to command: /var/packages/MailServer/target/libexec/dovecot/dovecot-lda -f "$SENDER" -a "$RECIPIENT")

 

[chrigu]

habe zwar keine synology, nur eine qnap, aber diese 58.117er ip hat auch schon bei mir auf der qnap nach offenen ports gescannt. laut ländercode ein chinese...

 

[Inanias]

Nach 4 weiteren Attacken genau dieser Art kann ich bestätigen, dass die oben genannten Einstellungen tatsächlich die Lösung sind.

Die Attacken enden nun immer nach 10 Versuchen ganz sauber mit:

Mar 13 13:25:55 NAS postfix/smtpd[28904]: too many errors after AUTH from unknown[114.198.186.66]
Mar 13 13:25:55 NAS postfix/smtpd[28904]: disconnect from unknown[114.198.186.66]