Помогите разобратьс...
 

[Решено] Помогите разобраться с postfix

8 Записи
2 Пользователи
3 Reactions
2,751 Просмотры
Записи: 11
Создатель темы
(@makso)
Active Member
Присоединился: 3 года назад

Доброго дня!

Впервые в жизни установил свой почтовый сервер в связке postfix + dovecot + mariadb + postfixadmin + fail2ban.

Всё вроде бы работает нормально, но в логах есть строки которые вызывают у меня некоторые опасение, а некоторые непонимание. Помогите пожалуйста разобраться.

Вот такие строки появляются в логе:

Jan 26 07:18:30 my_host_name postfix/smtpd[353087]: connect from mail.pokuf.ru[109.237.96.26]
Jan 26 07:18:30 my_host_name postfix/smtpd[353087]: Anonymous TLS connection established from mail.pokuf.ru[109.237.96.26]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Jan 26 07:18:31 my_host_name postfix/smtpd[353087]: warning: connect to mysql server localhost: Can't connect to local MySQL server through socket ' ссылка удалена ' (2)
Jan 26 07:18:31 my_host_name postfix/smtpd[353087]: warning:  " ссылка удалена "  lookup error for "mail@my_host_name.ru"
Jan 26 07:18:31 my_host_name postfix/smtpd[353087]: NOQUEUE: reject: RCPT from mail.pokuf.ru[109.237.96.26]: 451 4.3.0 <mail@my_host_name.ru>: Temporary lookup failure; from=<sek@pokuf.ru> to=<mail@my_host_name.ru> proto=ESMTP helo=

Я так понимаю, что кто то с почтового сервера mail.pokuf.ru пытается мне отправить письмо на ящик mail@my_host_name.ru, но так как такого почтового ящика у меня на сервере нет, то и высыпаются  ошибки mysql. И такие сообщения в логе возникают с завидной регулярностью. Здесь должен быть повод для беспокойства или всё нормально?

 

Следующий момент который я не понимаю:

В логе появляются вот такие сообщения:

Jan 26 08:18:43 my_host_name postfix/smtpd[353264]: connect from unknown[5.34.205.151]
Jan 26 08:18:44 my_host_name postfix/smtpd[353258]: warning: unknown[5.34.205.151]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jan 26 08:18:45 my_host_name postfix/smtpd[353258]: disconnect from unknown[5.34.205.151] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Jan 26 08:18:57 my_host_name postfix/smtpd[353258]: connect from unknown[5.34.205.151]

Тут мне понятно, что кто то с ip адреса 5.34.205.151 пытается залогиниться у меня на сервере. При этом fail2ban по команде:

fail2ban-client status postfix-sasl

Выдает следующий ответ:

Status for the jail: postfix-sasl
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	539
|  `- File list:	 ссылка удалена 
`- Actions
   |- Currently banned:	1
   |- Total banned:	177
   `- Banned IP list:	5.34.205.151

Вроде тоже всё хорошо. Плюс в iptables я жестко заблокировал этот ip адрес ну и fail2ban добавляет свои правила, вот вывод iptables -L -v -n:

Chain INPUT (policy DROP 132K packets, 25M bytes)
 pkts bytes target     prot opt in     out     source               destination         
38925 2797K f2b-Postfix-sals  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
75695  555M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
   68  4490 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
 126M  232G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  167 10980 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
   18   828 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
  102  7764 ACCEPT     all  --  tun+   *       0.0.0.0/0            0.0.0.0/0           
   10   640 ACCEPT     tcp  --  enp5s0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:2223
    8   512 ACCEPT     tcp  --  enp5s0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  enp5s0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
  109  5988 ACCEPT     tcp  --  enp5s0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8090
  122 10004 ACCEPT     udp  --  enp5s0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:4194
  736 43412 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:465
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:995
  633 38044 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:993
    0     0 DROP       all  --  *      *       5.34.205.151         0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 6621  411K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU
1169K  920M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  395 19688 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
 9217  835K ACCEPT     all  --  tun+   *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy DROP 1 packets, 96 bytes)
 pkts bytes target     prot opt in     out     source               destination         
75695  555M ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
  78M 6156M ACCEPT     all  --  *      enp5s0  0.0.0.0/0            0.0.0.0/0           
 119K  829M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
   67 24777 ACCEPT     all  --  *      tun+    0.0.0.0/0            0.0.0.0/0           

Chain f2b-Postfix-sals (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   90  5314 REJECT     all  --  *      *       5.34.205.151         0.0.0.0/0            reject-with icmp-port-unreachable
 8865 1000K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Как бы на первый взгляд тоже всё хорошо. Но тогда вопрос, как при наличии запрещающих правил в iptables для этого ip, в логе почтовика появляются строки о неудачной аутентификации? Ведь по идее до аутентификации дело дойти не должно было?

Помогите разобраться неразумному пожалуйста!

Ответить
Метки темы
7 Ответов
Записи: 926
Admin
(@zerox)
Prominent Member
Присоединился: 11 лет назад
От: @makso

Я так понимаю, что кто то с почтового сервера mail.pokuf.ru пытается мне отправить письмо на ящик mail@my_host_name.ru, но так как такого почтового ящика у меня на сервере нет, то и высыпаются  ошибки mysql.

Нет, это не связано с тем, что такого ящика нет. По какой-то причине пропадает связь с mysql сервером. С этим надо разбираться. Из-за этой ошибки и нормальное письмо не дойдёт. Так быть не должно. 

От: @makso

Как бы на первый взгляд тоже всё хорошо. Но тогда вопрос, как при наличии запрещающих правил в iptables для этого ip, в логе почтовика появляются строки о неудачной аутентификации? Ведь по идее до аутентификации дело дойти не должно было?

Сначала происходит несостоявшаяся аутентификация и потом бан. После бана по ip новых записей с этим адресом в логах почтового сервера больше быть не должно, пока бан не будет снят по времени истечения. В списке правил iptables видно, что запросы с этого ip блокируются, так как растёт счетчик заблокированных пакетов. Так что тут на вид всё корректно отрабатывает. 

Ответить
Записи: 11
Создатель темы
(@makso)
Active Member
Присоединился: 3 года назад
От: @zerox

Нет, это не связано с тем, что такого ящика нет. По какой-то причине пропадает связь с mysql сервером. С этим надо разбираться. Из-за этой ошибки и нормальное письмо не дойдёт. Так быть не должно. 

Тогда странно, что связь пропадает всегда аккурат после таких писем, отправленных на несуществующий ящик. В остальных случаях ошибка не проявляется. Вот только в таких случаях и больше никогда.

P.S. слэши заменил на % - форум по другому не пропускает.

Jan 26 20:12:20 my_host_name postfix/smtpd[357983]: Anonymous TLS connection established from desav.ru[185.186.142.173]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: warning: connect to mysql server localhost: Can't connect to local MySQL server through socket '%run%mysqld%mysqld.sock' (2)
Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: warning: mysql: %etc%postfix%mysql%virtual_mailbox_maps.cf lookup error for "anna@my_host_name.ru"
Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: NOQUEUE: reject: RCPT from desav.ru[185.186.142.173]: 451 4.3.0 <anna@my_host_name.ru>: Temporary lookup failure; from=<recept@desav.ru> to=<anna@my_host_name.ru> proto=ESMTP helo=<mail.desav.ru>
Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: lost connection after RCPT from desav.ru[185.186.142.173]
Jan 26 20:12:21 my_host_name postfix/smtpd[357983]: disconnect from desav.ru[185.186.142.173] ehlo=2 starttls=1 mail=1 rcpt=0/1 commands=4/5

 

От: @zerox

В списке правил iptables видно, что запросы с этого ip блокируются, так как растёт счетчик заблокированных пакетов. Так что тут на вид всё корректно отрабатывает. 

Да, посмотрел лог внимательно и обнаружил, что на самом деле запросы авторизации появляются только по истечении времени бана.

 

Спасибо за помощь!

Ответить
Записи: 926
Admin
(@zerox)
Prominent Member
Присоединился: 11 лет назад
От: @makso

Тогда странно, что связь пропадает всегда аккурат после таких писем, отправленных на несуществующий ящик. В остальных случаях ошибка не проявляется. Вот только в таких случаях и больше никогда.

Мне так трудно судить, с чем это может быть связано. Но в общем случае, это не нормальная реакция системы на несуществующий ящик. Не должно быть ошибок подключения к mysql серверу вообще. И ответ почтового сервера должен быть другим. 

Ответить
Записи: 11
Создатель темы
(@makso)
Active Member
Присоединился: 3 года назад

Понял вас. Хорошо. Буду разбираться.

Спасибо за помощь!

Ответить
Страница 1 / 2
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar