Привет, Это syntax error - я не думаю, что оно будет отсвечивать где-то в ACL. Как вместо RCPT написать RPCT.
25 вересня 2018, 11:19:55, від "Mikhail Golub" <[email protected]>: Спасибо. Я как-то раньше задавался этим вопросом, но ответа не нашел. Искал в англоязычной рассылке - там тоже предлагали парсить логи, использовать fail2ban ... Хотелось попроще. Описанный вариант (run shell) работает уже для некоторых правил. Вариант с SQL - вариант. Но ... "Лучше уж сделать кондишн с sql запросом, который положит нужный ip/дату_время в базу" - вопрос тот же - где этот конфишн (в каком acl) разместить? 25.09.2018 11:00, Vladimir Sharun пишет: > Привет, > > tail на логи и ловить/парсить нужную строку. > > Ты не попадёшь ни в один из ACL'ей, потому что это кейс - syntax error: > https://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_authentication.html > *If the connection is not using extended SMTP (that is, HELO was used > rather than EHLO), the use of AUTH= is a syntax error.* > > И да, вариант с run shell - это перебор. Лучше уж сделать кондишн с sql > запросом, который положит нужный ip/дату_время в базу, а внешний скрипт > раз в секунду поллит изменения в таблице - забирает оттуда новеньких и > пушит в файрвольную таблицу новый айтем. Держать в базе также полезно, > потому что у тебя всегда есть доказательства, когда какой хост накосячил. > > У нас таких странных на 12 часов в бан, потом бан снимается до след. > инцидента. > > /25 вересня 2018, 09:11:52, від "Mikhail Golub" <[email protected] > <mailto:[email protected]>>:/ > > Доброго времени суток. > > Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их > заблокировать (событие указано ниже)? > > Exim собран без авторизации: > Exim version 4.91 #3 (FreeBSD 11.2) built 27-Aug-2018 11:58:37 > Copyright (c) University of Cambridge,1995 - 2018 > (c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file,2007 > -2018 > Probably Berkeley DB version 1.8x (native mode) > Support for: iconv() use_setclassresources Expand_dlfunc OpenSSL PRDR > Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm > dbmjz dbmnz dnsdb dsearch passwd > Authenticators: > Routers: accept dnslookup ipliteral manualroute queryprogram redirect > Transports: appendfile/mbx autoreply pipe smtp > Fixed never_users: 0 > Configure owner: 0:0 > Size of off_t: 8 > Configuration file is /usr/local/etc/exim/configure > > > Подобные коннекты напрягают (не мешают, но лог забивают): > 2018-09-25 05:04:18 SMTP connection from [182.38.95.137] (TCP/IP > connection count = 1) > 2018-09-25 05:04:19 SMTP protocol error in "AUTH LOGIN" > H=(vcuawmzrqq.com) [182.38.95.137] AUTH command used when not advertised > 2018-09-25 05:04:20 SMTP connection from (vcuawmzrqq.com) > [182.38.95.137] lost D=1s > > > Хочу через такое правило добавлять хост в таблицу firewall-а: > continue = ${run{SHELL -c "/usr/local/bin/sudo -u root /sbin/pfctl -t > blocksmtp -T add $sender_host_address"}} > > Но в какой ACL его добавить ..? > > > > _______________________________________________ > Exim-users mailing list > [email protected] <mailto:[email protected]> > http://mailground.net/mailman/listinfo/exim-users > > > > _______________________________________________ > Exim-users mailing list > [email protected] > http://mailground.net/mailman/listinfo/exim-users > _______________________________________________ Exim-users mailing list [email protected] http://mailground.net/mailman/listinfo/exim-users
_______________________________________________ Exim-users mailing list [email protected] http://mailground.net/mailman/listinfo/exim-users
