Server Admin Авторский блог системного администратора
Доброго дня!
Впервые в жизни установил свой почтовый сервер в связке postfix + dovecot + mariadb + postfixadmin + fail2ban.
Всё вроде бы работает нормально, но в логах есть строки которые вызывают у меня некоторые опасение, а некоторые непонимание. Помогите пожалуйста разобраться.
Вот такие строки появляются в логе:
Jan 26 07:18:30 my_host_name postfix/smtpd[353087]: connect from mail.pokuf.ru[109.237.96.26]
Jan 26 07:18:30 my_host_name postfix/smtpd[353087]: Anonymous TLS connection established from mail.pokuf.ru[109.237.96.26]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Jan 26 07:18:31 my_host_name postfix/smtpd[353087]: warning: connect to mysql server localhost: Can't connect to local MySQL server through socket ' ссылка удалена ' (2)
Jan 26 07:18:31 my_host_name postfix/smtpd[353087]: warning: " ссылка удалена " lookup error for "mail@my_host_name.ru"
Jan 26 07:18:31 my_host_name postfix/smtpd[353087]: NOQUEUE: reject: RCPT from mail.pokuf.ru[109.237.96.26]: 451 4.3.0 <mail@my_host_name.ru>: Temporary lookup failure; from=<sek@pokuf.ru> to=<mail@my_host_name.ru> proto=ESMTP helo=
Я так понимаю, что кто то с почтового сервера mail.pokuf.ru пытается мне отправить письмо на ящик mail@my_host_name.ru, но так как такого почтового ящика у меня на сервере нет, то и высыпаются ошибки mysql. И такие сообщения в логе возникают с завидной регулярностью. Здесь должен быть повод для беспокойства или всё нормально?
Следующий момент который я не понимаю:
В логе появляются вот такие сообщения:
Jan 26 08:18:43 my_host_name postfix/smtpd[353264]: connect from unknown[5.34.205.151] Jan 26 08:18:44 my_host_name postfix/smtpd[353258]: warning: unknown[5.34.205.151]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Jan 26 08:18:45 my_host_name postfix/smtpd[353258]: disconnect from unknown[5.34.205.151] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4 Jan 26 08:18:57 my_host_name postfix/smtpd[353258]: connect from unknown[5.34.205.151]
Тут мне понятно, что кто то с ip адреса 5.34.205.151 пытается залогиниться у меня на сервере. При этом fail2ban по команде:
fail2ban-client status postfix-sasl
Выдает следующий ответ:
Status for the jail: postfix-sasl
|- Filter
| |- Currently failed: 0
| |- Total failed: 539
| `- File list: ссылка удалена
`- Actions
|- Currently banned: 1
|- Total banned: 177
`- Banned IP list: 5.34.205.151
Вроде тоже всё хорошо. Плюс в iptables я жестко заблокировал этот ip адрес ну и fail2ban добавляет свои правила, вот вывод iptables -L -v -n:
Chain INPUT (policy DROP 132K packets, 25M bytes)
pkts bytes target prot opt in out source destination
38925 2797K f2b-Postfix-sals tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
75695 555M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 0
68 4490 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
126M 232G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
167 10980 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
18 828 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
102 7764 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
10 640 ACCEPT tcp -- enp5s0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2223
8 512 ACCEPT tcp -- enp5s0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- enp5s0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
109 5988 ACCEPT tcp -- enp5s0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8090
122 10004 ACCEPT udp -- enp5s0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:4194
736 43412 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
633 38044 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993
0 0 DROP all -- * * 5.34.205.151 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
6621 411K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
1169K 920M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
395 19688 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
9217 835K ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 1 packets, 96 bytes)
pkts bytes target prot opt in out source destination
75695 555M ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
78M 6156M ACCEPT all -- * enp5s0 0.0.0.0/0 0.0.0.0/0
119K 829M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
67 24777 ACCEPT all -- * tun+ 0.0.0.0/0 0.0.0.0/0
Chain f2b-Postfix-sals (1 references)
pkts bytes target prot opt in out source destination
90 5314 REJECT all -- * * 5.34.205.151 0.0.0.0/0 reject-with icmp-port-unreachable
8865 1000K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Как бы на первый взгляд тоже всё хорошо. Но тогда вопрос, как при наличии запрещающих правил в iptables для этого ip, в логе почтовика появляются строки о неудачной аутентификации? Ведь по идее до аутентификации дело дойти не должно было?
Помогите разобраться неразумному пожалуйста!
Я так понимаю, что кто то с почтового сервера mail.pokuf.ru пытается мне отправить письмо на ящик mail@my_host_name.ru, но так как такого почтового ящика у меня на сервере нет, то и высыпаются ошибки mysql.
Нет, это не связано с тем, что такого ящика нет. По какой-то причине пропадает связь с mysql сервером. С этим надо разбираться. Из-за этой ошибки и нормальное письмо не дойдёт. Так быть не должно.
Как бы на первый взгляд тоже всё хорошо. Но тогда вопрос, как при наличии запрещающих правил в iptables для этого ip, в логе почтовика появляются строки о неудачной аутентификации? Ведь по идее до аутентификации дело дойти не должно было?
Сначала происходит несостоявшаяся аутентификация и потом бан. После бана по ip новых записей с этим адресом в логах почтового сервера больше быть не должно, пока бан не будет снят по времени истечения. В списке правил iptables видно, что запросы с этого ip блокируются, так как растёт счетчик заблокированных пакетов. Так что тут на вид всё корректно отрабатывает.
Нет, это не связано с тем, что такого ящика нет. По какой-то причине пропадает связь с mysql сервером. С этим надо разбираться. Из-за этой ошибки и нормальное письмо не дойдёт. Так быть не должно.
Тогда странно, что связь пропадает всегда аккурат после таких писем, отправленных на несуществующий ящик. В остальных случаях ошибка не проявляется. Вот только в таких случаях и больше никогда.
P.S. слэши заменил на % - форум по другому не пропускает.
Jan 26 20:12:20 my_host_name postfix/smtpd[357983]: Anonymous TLS connection established from desav.ru[185.186.142.173]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: warning: connect to mysql server localhost: Can't connect to local MySQL server through socket '%run%mysqld%mysqld.sock' (2) Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: warning: mysql: %etc%postfix%mysql%virtual_mailbox_maps.cf lookup error for "anna@my_host_name.ru" Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: NOQUEUE: reject: RCPT from desav.ru[185.186.142.173]: 451 4.3.0 <anna@my_host_name.ru>: Temporary lookup failure; from=<recept@desav.ru> to=<anna@my_host_name.ru> proto=ESMTP helo=<mail.desav.ru> Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: lost connection after RCPT from desav.ru[185.186.142.173] Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: disconnect from desav.ru[185.186.142.173] ehlo=2 starttls=1 mail=1 rcpt=0/1 commands=4/5
В списке правил iptables видно, что запросы с этого ip блокируются, так как растёт счетчик заблокированных пакетов. Так что тут на вид всё корректно отрабатывает.
Да, посмотрел лог внимательно и обнаружил, что на самом деле запросы авторизации появляются только по истечении времени бана.
Спасибо за помощь!
Тогда странно, что связь пропадает всегда аккурат после таких писем, отправленных на несуществующий ящик. В остальных случаях ошибка не проявляется. Вот только в таких случаях и больше никогда.
Мне так трудно судить, с чем это может быть связано. Но в общем случае, это не нормальная реакция системы на несуществующий ящик. Не должно быть ошибок подключения к mysql серверу вообще. И ответ почтового сервера должен быть другим.
Понял вас. Хорошо. Буду разбираться.
Спасибо за помощь!
