メールサーバをリレーしようと接続するホストの対策(fail2ban)

 メールサーバのログに、サーバをリレーサーバとして使おうとしているホストがあります。

$sudo grep "reject: RCPT from" /var/log/mail.log
  ・
  ・
  ・
Jun 27 10:00:10 eirspi11 postfix/smtpd[31004]: NOQUEUE: reject: RCPT from unknown[23.95.86.83]: 554 5.7.1 <validxxxg@gmail.com>: Relay access denied; from=<rgyxvuyunpx@sirius10.net> to=<validxxxg@gmail.com> proto=ESMTP helo=<mail.sirius10.net>
Jun 27 11:11:27 eirspi11 postfix/smtpd[31596]: NOQUEUE: reject: RCPT from unknown[77.247.110.161]: 554 5.7.1 <spameri@tiscali.it>: Relay access denied; from=<spameri@tiscali.it> to=<spameri@tiscali.it> proto=ESMTP helo=<win2012r2RDP>
Jun 27 14:33:43 eirspi11 postfix/smtpd[800]: NOQUEUE: reject: RCPT from unknown[77.247.110.201]: 554 5.7.1 <spameri@tiscali.it>: Relay access denied; from=<spameri@tiscali.it> to=<spameri@tiscali.it> proto=ESMTP helo=<win2012r2RDP>
Jun 29 07:47:23 eirspi11 postfix/smtpd[27052]: NOQUEUE: reject: RCPT from unknown[193.142.59.221]: 554 5.7.1 <spameri@tiscali.it>: Relay access denied; from=<spameri@tiscali.it> to=<spameri@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
  ・
  ・
  ・

 まあ、当ドメイン外へのリレーは許可していないので、reject されています。しかし、ログが増えるので、これも、fail2ban で対処したいと思います。

fail2ban の設定

 /etc/fail2ban/jail.d に postfix 用の設定ファイルを用意します。設定はもともとあるようなので、有効にして、ブロックする時間などを変えるだけです。

$ sudo vi /etc/fail2ban/jail.d/postfix.conf

 内容は次のようになります。1 回 reject されたら、2 ヶ月ブロックします。

[postfix]
enabled = true
logpath = %(postfix_log)s
maxretry = 1
findtime = 86400
bantime = 5184000
backend = %(postfix_backend)s

fail2ban のブロックを DROP に変更

 fail2ban でブロックした時、相手に応答する REJECT がデフォルトの設定ですが、わざわざ手間を掛ける必要もないので、DROP させることにしました。要は、無言でパケットを破棄します。

 /etc/fail2ban/action.d/iptables-common.conf を書き換えます。[Init] セクションの blocktype を REJECT ~ から DROP に変更します。

blocktype = DROP

 更新したら、起動し直します。

$ sudo service fail2ban restart

確認

 時間を置いて確認してみました。

$ sudo fail2ban-client status postfix
Status for the jail: postfix
 |- Filter
 |  |- Currently failed: 0
 |  |- Total failed:     1
 |  `- File list:        /var/log/mail.log
 `- Actions
    |- Currently banned: 1
    |- Total banned:     1
    `- Banned IP list:   37.0.11.129

 ちゃんとブロックできるようです。

サーバ設定

Posted by sirius