eigentlich will ich über die Helo restriction die IP's gelistet auf xbl.spamhaus.org schon verworfen haben. Ich krieg es aber das nicht gebogen. Obwohl gelistet auf xbl.spamhaus.org und die Helo restrition da ist, gibt es immer noch SASL LOGIN Fehler.
danke - David
May 18 12:21:07 srv postfix/smtpd[6206]: connect from unknown[190.92.84.178] May 18 12:21:09 srv postfix/smtpd[6206]: warning: unknown[190.92.84.178]: SASL LOGIN authentication failed: authentication failure May 18 12:21:10 srv postfix/smtpd[6206]: disconnect from unknown[190.92.84.178] helo=1 auth=0/1 quit=1 commands=2/3
*190.92.84.178 is not listed in the SBL*
*190.92.84.178 is not listed in the PBL*
*190.92.84.178 is listed in the XBL*, because it appears in: CBL
broken_sasl_auth_clients = yes # Restrictions # nachricht an den entfernten SMTP-Server, wenn er als "Spam-Schleuder" erkannt wurde default_rbl_reply = $rbl_code RBLTRAP: Sorry, but I decided that you are a spammer, you are not welcome here! # Zum eigene Wohl nicht ändern ;) smtpd_delay_reject = yes # Wir wollen begrüßt werden smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated permit_mynetworks reject_unknown_helo_hostname reject_invalid_helo_hostname reject_rhsbl_helo xbl.spamhaus.org permit
das Problem kommt mir verdächtig bekannt vor :-) Es wird vom Design her nicht gehen, zumindest nicht mit dem Postfix default für smtpd_delay_reject = yes Denn mit dieser Einstellung wird erst abgelehnt wenn Postfix den RCPT TO erhalten hat. Den bekommt er aber bei einem SASL Login nicht, zumindest nicht vor dem Login
Da smtpd_delay_reject = no einige Nachteile hat z.B. dass man die Envelope Infos der Mail nicht hat, würde ich vorschlagen dafür postscreen zu verwenden. Pack die XBL Liste in den postscreen [1]. Der verwirft dann die Verbindung bevor sie an Postfix durchgereicht wird. Ausserdem sicherstellen dass die legitimen Auth User über Port 587/465 an deinen Server übergeben. Am besten Auth an Port 25 abschalten :-)
[1] http://www.postfix.org/POSTSCREEN_README.html#before_220
Am 18.05.2017 um 12:34 schrieb Ublun:
eigentlich will ich über die Helo restriction die IP's gelistet auf xbl.spamhaus.org schon verworfen haben. Ich krieg es aber das nicht gebogen. Obwohl gelistet auf xbl.spamhaus.org und die Helo restrition da ist, gibt es immer noch SASL LOGIN Fehler.
danke - David
May 18 12:21:07 srv postfix/smtpd[6206]: connect from unknown[190.92.84.178] May 18 12:21:09 srv postfix/smtpd[6206]: warning: unknown[190.92.84.178]: SASL LOGIN authentication failed: authentication failure May 18 12:21:10 srv postfix/smtpd[6206]: disconnect from unknown[190.92.84.178] helo=1 auth=0/1 quit=1 commands=2/3
*190.92.84.178 is not listed in the SBL*
*190.92.84.178 is not listed in the PBL*
*190.92.84.178 is listed in the XBL*, because it appears in: CBL
broken_sasl_auth_clients = yes # Restrictions # nachricht an den entfernten SMTP-Server, wenn er als "Spam-Schleuder" erkannt wurde default_rbl_reply = $rbl_code RBLTRAP: Sorry, but I decided that you are a spammer, you are not welcome here! # Zum eigene Wohl nicht ändern ;) smtpd_delay_reject = yes # Wir wollen begrüßt werden smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated permit_mynetworks reject_unknown_helo_hostname reject_invalid_helo_hostname reject_rhsbl_helo xbl.spamhaus.org permit
Hallo David,
mir ist noch nicht ganz klar was du erreichen willst. Hab ich das richtig verstanden, du willst IP's aus XBL komplett blocken, so dass sie nicht erst ein SASL Login versuchen können? Dann solltest du das im Postscreen tun, und deine eigenen Clients sollten den Submission Port verwenden.
Am 2017-05-18 12:34, schrieb Ublun:
eigentlich will ich über die Helo restriction die IP's gelistet auf xbl.spamhaus.org schon verworfen haben. Ich krieg es aber das nicht gebogen. Obwohl gelistet auf xbl.spamhaus.org und die Helo restrition da ist, gibt es immer noch SASL LOGIN Fehler.
danke - David
May 18 12:21:07 srv postfix/smtpd[6206]: connect from unknown[190.92.84.178] May 18 12:21:09 srv postfix/smtpd[6206]: warning: unknown[190.92.84.178]: SASL LOGIN authentication failed: authentication failure May 18 12:21:10 srv postfix/smtpd[6206]: disconnect from unknown[190.92.84.178] helo=1 auth=0/1 quit=1 commands=2/3
190.92.84.178 IS NOT LISTED IN THE SBL
190.92.84.178 IS NOT LISTED IN THE PBL
190.92.84.178 IS LISTED IN THE XBL, because it appears in: CBL
broken_sasl_auth_clients = yes # Restrictions # nachricht an den entfernten SMTP-Server, wenn er als "Spam-Schleuder" erkannt wurde default_rbl_reply = $rbl_code RBLTRAP: Sorry, but I decided that you are a spammer, you are not welcome here! # Zum eigene Wohl nicht ändern ;) smtpd_delay_reject = yes # Wir wollen begrüßt werden smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated permit_mynetworks reject_unknown_helo_hostname reject_invalid_helo_hostname reject_rhsbl_helo xbl.spamhaus.org permit
Danke Joachim, genau IP's aus XBL blocken und ist mir nun auch klar das es über Postscreen geht.
Eigentlich fängt Fail2ban SASL die schon ab. Jedoch die vereinzelten muss ich über Postscreen abfangen.
2017-05-18 18:13:10,862 fail2ban.filter [1334]: INFO [postfix-sasl] Found 220.231.105.254 2017-05-18 18:13:14,718 fail2ban.filter [1334]: INFO [postfix-sasl] Found 220.231.105.254 2017-05-18 18:13:18,608 fail2ban.filter [1334]: INFO [postfix-sasl] Found 220.231.105.254 2017-05-18 18:13:19,172 fail2ban.actions [1334]: NOTICE [postfix-sasl] Ban 220.231.105.254
Besten Dank an Alle
Am 19.05.2017 um 08:36 schrieb Joachim Fahrner:
Hallo David,
mir ist noch nicht ganz klar was du erreichen willst. Hab ich das richtig verstanden, du willst IP's aus XBL komplett blocken, so dass sie nicht erst ein SASL Login versuchen können? Dann solltest du das im Postscreen tun, und deine eigenen Clients sollten den Submission Port verwenden.
Am 2017-05-18 12:34, schrieb Ublun:
eigentlich will ich über die Helo restriction die IP's gelistet auf xbl.spamhaus.org schon verworfen haben. Ich krieg es aber das nicht gebogen. Obwohl gelistet auf xbl.spamhaus.org und die Helo restrition da ist, gibt es immer noch SASL LOGIN Fehler. danke - David May 18 12:21:07 srv postfix/smtpd[6206]: connect from unknown[190.92.84.178] May 18 12:21:09 srv postfix/smtpd[6206]: warning: unknown[190.92.84.178]: SASL LOGIN authentication failed: authentication failure May 18 12:21:10 srv postfix/smtpd[6206]: disconnect from unknown[190.92.84.178] helo=1 auth=0/1 quit=1 commands=2/3 *190.92.84.178 is not listed in the SBL* *190.92.84.178 is not listed in the PBL* *190.92.84.178 is listed in the XBL*, because it appears in: CBL broken_sasl_auth_clients = yes # Restrictions # nachricht an den entfernten SMTP-Server, wenn er als "Spam-Schleuder" erkannt wurde default_rbl_reply = $rbl_code RBLTRAP: Sorry, but I decided that you are a spammer, you are not welcome here! # Zum eigene Wohl nicht ändern ;) smtpd_delay_reject = yes # Wir wollen begrüßt werden smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated permit_mynetworks reject_unknown_helo_hostname reject_invalid_helo_hostname reject_rhsbl_helo xbl.spamhaus.org permit-- Mit besten Grüßen Joachim Fahrner
PGP-Key: http://www.fahrner.name/JoachimFahrner.asc
Es gibt keine Cloud, es ist nur der Computer eines anderen
Bin ganz zufrieden mit Postscreen, tut auch was es sollte und so kann man die logs auch gut auslesen. Habe die Gmail Server in der postscreen_access.cidr und natürlich die de.postfix.org
danke - David
##### postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access.cidr postscreen_greet_banner = NW networks - please wait postscreen_dnsbl_threshold = 2 postscreen_dnsbl_sites = zen.spamhaus.org*2 dnbsbl.sorbs.net bl.spamcop.net postscreen_dnsbl_action = enforce postscreen_greet_action = enforce #######
On 19.05.2017 08:36, Joachim Fahrner wrote:
Hallo David,
mir ist noch nicht ganz klar was du erreichen willst. Hab ich das richtig verstanden, du willst IP's aus XBL komplett blocken, so dass sie nicht erst ein SASL Login versuchen können? Dann solltest du das im Postscreen tun, und deine eigenen Clients sollten den Submission Port verwenden.
Am 2017-05-18 12:34, schrieb Ublun:
eigentlich will ich über die Helo restriction die IP's gelistet auf xbl.spamhaus.org schon verworfen haben. Ich krieg es aber das nicht gebogen. Obwohl gelistet auf xbl.spamhaus.org und die Helo restrition da ist, gibt es immer noch SASL LOGIN Fehler. danke - David May 18 12:21:07 srv postfix/smtpd[6206]: connect from unknown[190.92.84.178] May 18 12:21:09 srv postfix/smtpd[6206]: warning: unknown[190.92.84.178]: SASL LOGIN authentication failed: authentication failure May 18 12:21:10 srv postfix/smtpd[6206]: disconnect from unknown[190.92.84.178] helo=1 auth=0/1 quit=1 commands=2/3 *190.92.84.178 is not listed in the SBL* *190.92.84.178 is not listed in the PBL* *190.92.84.178 is listed in the XBL*, because it appears in: CBL broken_sasl_auth_clients = yes # Restrictions # nachricht an den entfernten SMTP-Server, wenn er als "Spam-Schleuder" erkannt wurde default_rbl_reply = $rbl_code RBLTRAP: Sorry, but I decided that you are a spammer, you are not welcome here! # Zum eigene Wohl nicht ändern ;) smtpd_delay_reject = yes # Wir wollen begrüßt werden smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated permit_mynetworks reject_unknown_helo_hostname reject_invalid_helo_hostname reject_rhsbl_helo xbl.spamhaus.org permit-- Mit besten Grüßen Joachim Fahrner
PGP-Key: http://www.fahrner.name/JoachimFahrner.asc
Es gibt keine Cloud, es ist nur der Computer eines anderen
* Ublun info@ublun.com:
smtpd_helo_restrictions = permit_sasl_authenticated permit_mynetworks reject_unknown_helo_hostname reject_invalid_helo_hostname reject_rhsbl_helo xbl.spamhaus.org permit
muss sein: smtpd_helo_restrictions = reject_rbl_client xbl.spamhaus.org permit_sasl_authenticated permit_mynetworks reject_unknown_helo_hostname reject_invalid_helo_hostname permit
participants (4)
-
Joachim Fahrner -
Ralf Hildebrandt -
Tobi -
Ublun