メールサーバをリレーしようと接続するホストの対策(fail2ban)
メールサーバのログに、サーバをリレーサーバとして使おうとしているホストがあります。
$sudo grep "reject: RCPT from" /var/log/mail.log ・ ・ ・ Jun 27 10:00:10 eirspi11 postfix/smtpd[31004]: NOQUEUE: reject: RCPT from unknown[23.95.86.83]: 554 5.7.1 <validxxxg@gmail.com>: Relay access denied; from=<rgyxvuyunpx@sirius10.net> to=<validxxxg@gmail.com> proto=ESMTP helo=<mail.sirius10.net> Jun 27 11:11:27 eirspi11 postfix/smtpd[31596]: NOQUEUE: reject: RCPT from unknown[77.247.110.161]: 554 5.7.1 <spameri@tiscali.it>: Relay access denied; from=<spameri@tiscali.it> to=<spameri@tiscali.it> proto=ESMTP helo=<win2012r2RDP> Jun 27 14:33:43 eirspi11 postfix/smtpd[800]: NOQUEUE: reject: RCPT from unknown[77.247.110.201]: 554 5.7.1 <spameri@tiscali.it>: Relay access denied; from=<spameri@tiscali.it> to=<spameri@tiscali.it> proto=ESMTP helo=<win2012r2RDP> Jun 29 07:47:23 eirspi11 postfix/smtpd[27052]: NOQUEUE: reject: RCPT from unknown[193.142.59.221]: 554 5.7.1 <spameri@tiscali.it>: Relay access denied; from=<spameri@tiscali.it> to=<spameri@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP> ・ ・ ・
まあ、当ドメイン外へのリレーは許可していないので、reject されています。しかし、ログが増えるので、これも、fail2ban で対処したいと思います。
fail2ban の設定
/etc/fail2ban/jail.d に postfix 用の設定ファイルを用意します。設定はもともとあるようなので、有効にして、ブロックする時間などを変えるだけです。
$ sudo vi /etc/fail2ban/jail.d/postfix.conf
内容は次のようになります。1 回 reject されたら、2 ヶ月ブロックします。
[postfix] enabled = true logpath = %(postfix_log)s maxretry = 1 findtime = 86400 bantime = 5184000 backend = %(postfix_backend)s
fail2ban のブロックを DROP に変更
fail2ban でブロックした時、相手に応答する REJECT がデフォルトの設定ですが、わざわざ手間を掛ける必要もないので、DROP させることにしました。要は、無言でパケットを破棄します。
/etc/fail2ban/action.d/iptables-common.conf を書き換えます。[Init] セクションの blocktype を REJECT ~ から DROP に変更します。
blocktype = DROP
更新したら、起動し直します。
$ sudo service fail2ban restart
確認
時間を置いて確認してみました。
$ sudo fail2ban-client status postfix
Status for the jail: postfix
|- Filter
| |- Currently failed: 0
| |- Total failed: 1
| `- File list: /var/log/mail.log
`- Actions
|- Currently banned: 1
|- Total banned: 1
`- Banned IP list: 37.0.11.129
ちゃんとブロックできるようです。