为什么我的后缀服务器不断连接到外部IP？

Question

我已经建立了一个工作正常的VPS。我使用后缀服务器使用PHP发送电子邮件。我只是检查日志文件，我注意到我的服务器每2-3秒收到一个连接请求或连接到另一个主机。

这是正常的行为吗？我不知道主机名是什么。这安全吗还是被恶意软件感染了？我的VPS是托管在数字海洋上的。

Answer 1

您的日志中满是包含以下内容的序列：

1. 连接自
2. SASL认证失败
3. 8月后失去联系
4. 与…脱节。

这些是传入的连接。例如，每个邮件服务器都会在某个时候得到这种蛮力的登录尝试。这不是你在日志里唯一能看到的东西。只需确保您有合适的后缀SMTP中继和访问控制来处理互联网为SMTP服务器提供的所有坏消息。最重要的是避免将邮件服务器配置为打开的中继，这也会导致恶意的出站连接。

对于这个特定的问题，您可以使用Fail2Ban暂时禁止这样的IP地址。有大量的教程，但是在这里使用的maxretry = 3也很容易导致真正的用户被禁止。我建议：

[postfix]
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry  = 7

至少在Debian中，postfix-sasl.conf已经为这些身份验证失败预定义了failregex。

Answer 2

机器人正试图对您的邮件服务器进行身份验证，可能是希望发送垃圾邮件。这对于面向邮件服务器的互联网来说是正常的，只要您的服务器得到适当的保护，您就没有什么好担心的了。