<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><div><blockquote type="cite"><div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">Ich habe mir nun die Zeit genommen, auch selbst die postfix-manpages (gezielter als ich es ursprünglich gemacht habe) durchzuschauen um alles wirklich zu verstehen und habe einiges angepasst. <br></div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">Zwei offene Punkte hätte ich noch:</div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);"><ul style="margin-top: 0px; margin-bottom: 0px;" data-editing-info="{"orderedStyleType":1,"unorderedStyleType":1}"><li style="list-style-type: disc;">Alle smtp_*-Einträge kann ich mit besten Gewissen löschen - richtig?</li><li style="list-style-type: disc;">SMTP-Auth von Postfix habe ich bereits seit einiger Zeit deaktiviert (hatte es kurzfristig mal aktiviert), trotzdem blockt fail2ban immernoch einige Versuche weg. Ich gehe davon aus, dass die Clients einfach versuchen es zu machen und zu blöde sind zu checken das es nicht mehr deaktiviert ist - und da es trotzdem als Versuch geloggt wird, bannt fail2ban die Clients trotzdem? (ich blocke nach 2 Fehlversuchen)<br></li></ul></div></div></blockquote><div><br></div><div>Das kann sein. Ich würde überprüfen was angeboten wird.</div><div>Hier ein Beispiel mit submission:</div><div><br></div><div><div>$ openssl s_client -connect mx1.example.com:587 -starttls smtp</div><div>CONNECTED(00000003)</div><div>...</div><div>250 CHUNKING</div><div>EHLO client1.example.com</div><div>250-mx1.example.com</div><div>250-PIPELINING</div><div>250-SIZE 22040192</div><div>250-ETRN</div><div>250-AUTH PLAIN LOGIN</div><div>250-AUTH=PLAIN LOGIN</div><div>250-ENHANCEDSTATUSCODES</div><div>250-8BITMIME</div><div>250 CHUNKING</div><div>QUIT</div><div>DONE</div><div><br></div><div>Man muss nur EHLO <hostname> eingeben und danach QUIT.</div><div>Sollte irgendwas mit 250-AUTH vorkommen, wird Authentifizierung angeboten.</div><div><br></div><div>Üblicherweise wird auf Port 25 kein AUTH (sasl) mehr konfiguriert,</div><div>das läuft über die dedizierten Ports 587 (submission) bzw. 465 (smtps/submissions).</div><div>smtpd_sasl_auth_enable sollte daher nicht in der main.cf aktiviert werden,</div><div>dann gilt es nämlich für alle Ports (auch 25), sondern nur beim entsprechenden</div><div>Dienst in der master.cf.</div><div><br></div><div><br></div><div>Um zu sehen warum manche Clients von fail2ban geblockt werden, würde ich</div><div>die Meldungen aus dem Postfix-Log und die regulären Ausdrücke von fail2ban</div><div>anschauen. Soweit ich mich erinnere liegen die Regexes in den Configdateien</div><div>in /etc/fail2ban/....</div><div><br></div><div>Wenn postfix kein 250-AUTH anbietet kann nichts passieren, außer dass bei</div><div>entsprechend vielen Zugriffen das Maillog vollgemüllt wird oder die maximale</div><div>Anzahl gleichzeitiger SMTP-Sessions erreicht wird und gewollte Mails ggf.</div><div>verzögert angenommen werden.</div><div><br></div><div>Das kann man in Kauf nehmen oder postscreen vorschalten (Event-Loop; viele</div><div>Verbindungen werden asynchron vom selben Prozess verwaltet; unterstützt kein</div><div>AUTH) oder man nutzt sowas wie fail2ban. Letzteres sperrt IPs über die Firewall,</div><div>so dass die Anfragen nicht mehr bei Postfix ankommen und dann auch im Log weniger</div><div>los ist.</div><div><br></div><div>https://www.postfix.org/POSTSCREEN_README.html</div><div><br></div><div>Viele Grüße</div><div>Gerald</div><div><br></div><div><br></div><div><br></div></div></div><br></body></html>