lost connection after RSET を許可する(fail2ban)

 メール代行業者の emberpoint.com のホストが「lost connection after RSET」を出します。

 fail2ban でポートスキャンするホストを弾こうと、postfix-ddos フィルタを有効にしましたが、そのままだと emberpoint.com まで弾かれてしまいます。まあ、メール代行業者は弾いても問題なさそうに思えますが、国内の大手企業も使っている業者なので受け取れないのも不便です。fail2ban の ignoreip で許可していました。

fail2ban でポートスキャンをブロックする

 しかし、この emberpoint.com は、多数のホストを抱えているようで、IP アドレスを 10 個程度登録しただけでは対応しきれません。

 幸いに、今の所、「lost connection after RSET」を出すのは、この emberpoint.com だけなので、 ignoreregexで対応することにしました。

 /etc/fail2ban/jail.d/postfix-ddos の内容は次のようになります。

[postfix-ddos]
enabled = true
filter = postfix[mode=ddos]
logpath = %(postfix_log)s
maxretry = 1
findtime = 86400
bantime = 5184000
backend = %(postfix_backend)s
ignoreregex = lost connection after RSET

 大量のホストからラウンドロビンでメールを発信する動きは、まるでフィルタをかいくぐって発信する spam 業者のようです。負荷分散のための設計だとは思いますが、怪しい動きではあります。そんなことをするより、エラーを出さなくすることへ力を注いでもらいたいですね。

 ちなみに、ここを使っているメールマガジンは全部解除しました。どうせまともに読んでいませんでしたから問題ありません。もし、重要な内容のメールも、この emberpoint.com から出す企業がいるとしたら、非常に問題だと思います。自社のメールサーバか、プロバイダのメールサーバを利用すべきです。企業のメールは、表示されるメールアドレスと、発信元が同じであるべきだと思います。

サーバ設定

Posted by sirius