smtpd_client_restrictions还是smtpd_recipient_restrictions在后缀？

Question

我的问题是，我可怜的服务器经常受到外部威胁发送邮件的困扰。每小时有数百次尝试-以下是来自maillog的一次尝试

Aug 15 03:43:17 xxxxxxxx courier-pop3d: Connection, ip=[::ffff:212.142.140.236]
Aug 15 03:43:17 xxxxxxxx courier-authdaemon: authpsa: short mail addresses are not allowed, got 'radiomail'
Aug 15 03:43:17 xxxxxxxx courier-pop3d: LOGIN FAILED, user=radiomail, ip=[::ffff:212.142.140.236]
Aug 15 03:43:17 xxxxxxxx courier-pop3d: authentication error: Input/output error

问题中的IP被列为对Spamhaus的威胁，而不是对梭子鱼的威胁，这就是我所使用的。我已经向梭鱼报告过了。幸运的是，它的失败是因为“短电子邮件地址”。我想阻止他们所有这些尝试。我试着把IP放进文件client_checks..。像这样

212.142.140.236 REJECT Your IP is spam

然后在main.cf中添加了一行，如下所示

smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/client_checks

结果-无变化

我是不是把考试放错地方了？

我注意到有一个client_restrictions和一个sender_restrictions。它们在这里

smtpd_sender_restrictions = check_sender_access, hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated, check_client_access, pcre:/var/spool/postfix/plesk/non_auth.re
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client b.barracudacentral.org

我做的一件事就是在check_client_access和check_sender_access之后加上一个逗号。这样行吗？

Answer 1

以下几点：

1. smtpd_client_restrictions是根据IP地址、DNS RBL或类似的方式设置限制的逻辑位置。它不需要发送者或收件人的知识，但在实践中，在发送服务器同时发送这两种信息之前，Postfix不会拒绝。
2. 如果使用hash:表，则必须记住使用postmap /etc/postfix/client_checks创建后缀哈希表
3. 您可以列出一个POP/IMAP守护进程Courier的日志行。后缀是否将其用于身份验证？如果没有，您可能需要查看后缀日志行，以查看尝试发送的垃圾邮件。
4. 您可能希望查看fail2ban，查看自动防火墙失败的POP、IMAP或SMTP尝试。人们已经为快递和后缀编写了过滤器。

Answer 2

好吧..。我一直在研究这个‘蛮力攻击’，并通过在我的防火墙中创建一个新规则来解决这个特定IP (和其他人)的问题。我现在可以否认任何我不喜欢的IP。我的邮件日志现在是可读的和可用的，在我看不见树木的木头之前。我可以看到所有的有效用户登录，并正在考虑编写一些东西，以提取所有有效的IP地址，并有一个‘只允许’类型规则。