Minimalistisches Postfix Setup
Gerald Galster
list+postfixbuch at gcore.biz
Do Dez 12 01:51:03 CET 2024
> Ich habe mir nun die Zeit genommen, auch selbst die postfix-manpages (gezielter als ich es ursprünglich gemacht habe) durchzuschauen um alles wirklich zu verstehen und habe einiges angepasst.
>
> Zwei offene Punkte hätte ich noch:
>
> Alle smtp_*-Einträge kann ich mit besten Gewissen löschen - richtig?
> SMTP-Auth von Postfix habe ich bereits seit einiger Zeit deaktiviert (hatte es kurzfristig mal aktiviert), trotzdem blockt fail2ban immernoch einige Versuche weg. Ich gehe davon aus, dass die Clients einfach versuchen es zu machen und zu blöde sind zu checken das es nicht mehr deaktiviert ist - und da es trotzdem als Versuch geloggt wird, bannt fail2ban die Clients trotzdem? (ich blocke nach 2 Fehlversuchen)
Das kann sein. Ich würde überprüfen was angeboten wird.
Hier ein Beispiel mit submission:
$ openssl s_client -connect mx1.example.com:587 -starttls smtp
CONNECTED(00000003)
...
250 CHUNKING
EHLO client1.example.com
250-mx1.example.com
250-PIPELINING
250-SIZE 22040192
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 CHUNKING
QUIT
DONE
Man muss nur EHLO <hostname> eingeben und danach QUIT.
Sollte irgendwas mit 250-AUTH vorkommen, wird Authentifizierung angeboten.
Üblicherweise wird auf Port 25 kein AUTH (sasl) mehr konfiguriert,
das läuft über die dedizierten Ports 587 (submission) bzw. 465 (smtps/submissions).
smtpd_sasl_auth_enable sollte daher nicht in der main.cf aktiviert werden,
dann gilt es nämlich für alle Ports (auch 25), sondern nur beim entsprechenden
Dienst in der master.cf.
Um zu sehen warum manche Clients von fail2ban geblockt werden, würde ich
die Meldungen aus dem Postfix-Log und die regulären Ausdrücke von fail2ban
anschauen. Soweit ich mich erinnere liegen die Regexes in den Configdateien
in /etc/fail2ban/....
Wenn postfix kein 250-AUTH anbietet kann nichts passieren, außer dass bei
entsprechend vielen Zugriffen das Maillog vollgemüllt wird oder die maximale
Anzahl gleichzeitiger SMTP-Sessions erreicht wird und gewollte Mails ggf.
verzögert angenommen werden.
Das kann man in Kauf nehmen oder postscreen vorschalten (Event-Loop; viele
Verbindungen werden asynchron vom selben Prozess verwaltet; unterstützt kein
AUTH) oder man nutzt sowas wie fail2ban. Letzteres sperrt IPs über die Firewall,
so dass die Anfragen nicht mehr bei Postfix ankommen und dann auch im Log weniger
los ist.
https://www.postfix.org/POSTSCREEN_README.html
Viele Grüße
Gerald
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20241212/405e06a3/attachment.htm>
Mehr Informationen über die Mailingliste Postfixbuch-users