приветствую
George L. Yermulnik wrote on 25.09.2018 10:56:
>> Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их
>> заблокировать (событие указано ниже)?
>
>> Подобные коннекты напрягают (не мешают, но лог забивают):
>> 2018-09-25 05:04:18 SMTP connection from [182.38.95.137] (TCP/IP
>> connection count = 1)
>> 2018-09-25 05:04:19 SMTP protocol error in "AUTH LOGIN"
>> H=(vcuawmzrqq.com) [182.38.95.137] AUTH command used when not advertised
>> 2018-09-25 05:04:20 SMTP connection from (vcuawmzrqq.com)
>> [182.38.95.137] lost D=1s
>
>> Хочу через такое правило добавлять хост в таблицу firewall-а:
>> continue = ${run{SHELL -c "/usr/local/bin/sudo -u root /sbin/pfctl -t
>> blocksmtp -T add $sender_host_address"}}
>
>> Но в какой ACL его добавить ..?
>
> Если я правильно понял (а могу понять и неправильно), то нету такого
> acl'я, чтобы "словить" использование auth, если он не был предложен.
> Поэтому, вероятно нужно смотреть в сторону fail2ban и иже с ним.
этот же вопрос подняли в англоязычном листе.
можно описать hostlist, в котором указать, кому мы анонсируем SMTP
аутентификацию. его уже указать в auth_advertise_hosts.
потом в acl_check_quit и acl_check_notquit проверить, входит ли адрес
хоста отправителя в hostlist.
если не входит, то проверить значение $smtp_command_history.
т. о. можно выловить попытку аутентифицироваться тогда, когда
аутентификация не анонсирована.
ну а дальше - дело вкуса каждого, где сохранять информацию о таком хосте
и что с ним делать в следующий раз в acl_check_connect.
--
Best wishes
Victor Ustugov mailto:[email protected]
public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc
Skype ID: corvax_nb JID: [email protected]
_______________________________________________
Exim-users mailing list
[email protected]
http://mailground.net/mailman/listinfo/exim-users
