И это всё МОЁ
Привет всем.
Подскажите список регулярных выражений для exim в fail2ban, или как ещё обезопасить почтовый сервер от взлома. Вроде fail2ban работает и блокирует неверно введенный пароли, но каким то образом замечаю, что одна из почт начинает делать массовые рассылки спама, в отправленных письма не сохраняются, вижу только отчеты. Я чищу очередь и меняю пароль (пароли генерирую из не менее 25 знаков), пароль есть только у меня.
Вот правила из fail2ban:
(jail.conf)
enabled = true
filter = exim
action = iptables[name=SMTP, port=25, protocol=tcp]
mail[name=EximAuth, [email protected]]
logpath = /var/log/exim/main.log
maxretry = 3
bantime = 86400
и (exim.conf)
\[<HOST>\] .*(?:rejected by local_scan|Unrouteable address)
\[<HOST>\] I=\[[0-9\.]+\]:25: 535 Incorrect authentication data
TLS error on connection from (.*)\[<HOST>\]
no host name found for IP address <HOST>
\[<HOST>\] .*(?:rejected by local_scan|Unrouteable address)
SMTP syntax error in ".+" H=\[<HOST>\]
SMTP call from \[<HOST>\]
вот несколько строк из лога, как я понял тут даже нет адреса обращения к почтовому серверу:
2020-10-13 08:12:22 1kSCa6-0006yd-DE -> [email protected] R=dnslookup T=remote_smtp H=hotmail-com.olc.protection.outlook.com [104.47.1.33] X=TLSv1:AES256-SHA:256 C="250 2.6.0 <6dc710d1-19da-410b-9905-acd6acfa01a8@VE1EUR01FT019.eop-EUR01.prod.protection.outlook.com>"
2020-10-13 08:12:22 1kSCbm-00079Q-O7 <= <> R=1kSCa6-0006yd-DE U=exim P=local S=2453 from <> for [email protected]
2020-10-13 08:12:22 1kSCa6-0006yd-DE Completed
Перед эти были такие соединения:
<= [email protected] H=([94.102.51.175]) [94.102.51.175] I=[31.72.221.221]:25 P=esmtp S=1145 from <[email protected]> for [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
2020-10-13 08:11:18 1kSCak-0006ye-EH no immediate delivery: more than 10 messages received in one connection
а первое странное напоминания как я понимаю с чего всё началось это вот эти строки:
2020-10-13 00:11:29 no host name found for IP address 36.110.26.10
2020-10-13 00:11:48 1kS56V-0007XQ-6Y <= <> H=(yml-server.lan) [36.110.26.10] I=[31.72.221.221]:25 P=smtp S=32353 [email protected] from <> for [email protected]
2020-10-13 00:11:49 1kS56V-0007XQ-6Y => slog <[email protected]> R=dovecot_user T=dovecot_delivery