セキュリティ対策 - fail2ban - postfix-sasl




 クラウディア












1. 概要				


2. 状況				


3. 設定				


4. 参考サイト		




1. 概要


 こちらのユーザでもないのに、認証してもらおうとして、やたらログが出力されていました。


2. 状況


 こんなログ。



May 27 09:53:20 ns postfix/smtpd[62911]: warning: unknown[81.30.98.44]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=chandramohan
May 27 09:53:20 ns postfix/smtpd[62911]: disconnect from unknown[81.30.98.44] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
May 27 09:53:25 ns postfix/smtpd[63327]: warning: unknown[81.30.98.90]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=kisskiss
May 27 09:53:26 ns postfix/smtpd[63327]: disconnect from unknown[81.30.98.90] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
May 27 09:53:28 ns postfix/smtpd[62911]: connect from unknown[81.30.98.62]
May 27 09:53:30 ns postfix/smtpd[63327]: connect from unknown[81.30.98.174]
May 27 09:53:32 ns postfix/smtpd[75233]: connect from unknown[81.30.98.49]
May 27 09:53:32 ns postfix/smtpd[62911]: warning: unknown[81.30.98.62]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=basin
May 27 09:53:32 ns postfix/smtpd[62911]: disconnect from unknown[81.30.98.62] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
May 27 09:53:33 ns postfix/smtpd[62911]: connect from unknown[81.30.98.207]
May 27 09:53:35 ns postfix/smtpd[75233]: warning: unknown[81.30.98.49]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=nemo
May 27 09:53:35 ns postfix/smtpd[75233]: disconnect from unknown[81.30.98.49] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
May 27 09:53:36 ns postfix/smtpd[63327]: warning: unknown[81.30.98.174]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=prikol
May 27 09:53:36 ns postfix/smtpd[63327]: disconnect from unknown[81.30.98.174] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4



 実在しない(またはランダムな)ユーザー名を使って片っ端からログインを試みる 「パスワード総当たり攻撃(ブルートフォースアタック)」 だそうです。


3. 設定


 これは、標準で用意されている、「postfix-sasl」というフィルタが使えるようです。
 以下、「root」ユーザ権限で。



vi /usr/local/etc/fail2ban/jail.local



 下記を追記します。



[postfix-sasl]
enabled  = true
filter   = postfix[mode=auth]
logpath  = /var/log/maillog
banaction = pf
findtime = 600
maxretry = 2
bantime  = 86400



 バンアクション時のふるまい、ログファイルのパス・ファイル名、検索周期、検出回数、バン期間は、適宜、環境に合わせます。
 再起動します。



service fail2ban restart




4. 参考サイト


 本ページは、「Gemini」伍長を参考にさせていただきました。