(wat is) Postfix?

Postfix is gewoon een SMTP server. Niet meer, niet minder. Je hebt hem nodig om vanaf je server mail te kunnen versturen/ontvangen. Roundcube heeft hem nodig, PHP heeft het nodig als je ermee mailt via de interne functies, etc etc.
Het is niet vreemd dat je meldingen krijgt over SMTP servers, het is waar het meest naar gezocht wordt: open relays. Die worden dan door de spammers misbruikt. Ik weet niet wat het nut is van strenger afstellen. Er wordt meestal niet meer dan 1 request gedaan, waarna heel simpel de reactie is "oke, die is dicht".

Nee, er wordt niet maar 1 request gedaan. Ik heb nu een IP-adres dat keurig ieder half uur een inbraakpoging doet. Omdat er zoveel tijd tussenzit, wordt ie niet geband. :-s

Maar als ik je dus goed begrijp ... stel ik log via webmail (bijv. Roundcube) in op de server, dan is deze jail dus van toepassing? Want dan kan ik namelijk niet té streng zijn.

Niet zozeer bij het inloggen, maar bij het versturen van mail. Maar omdat die requests van localhost komen zit er waarschijnlijk geen authenticatie tussen. Dat zou in ieder geval niet logisch zijn. Roundcube authenticatie zelf loopt via je IMAP server, bijvoorbeeld Courier of Dovecot. Als het ieder half uur is is het ook niet zinnig om er naar te kijken. Het zijn ook geen inbraakpogingen, als je goed kijkt zie je dat er geen poging tot inloggen wordt gedaan.

>> Niet zozeer bij het inloggen, maar bij het versturen van mail.

Dus kan ik postfix gerust wat strakker afstellen dan lijkt me? Aangezien het dus niet gaat om het handmatig invoeren waarbij de kans op een vergissing groter is?

>> Het zijn ook geen inbraakpogingen, als je goed kijkt zie je dat er geen poging tot inloggen wordt gedaan.

Dit snap ik niet. In mijn log staat toch echt:

failed mail authenticatication attempt for user 'internet@xxxxxxx' (password len=9)
warning: unknown[xx.xxx.xxx.xx]: SASL LOGIN authentication failed: authentication failure

Dat lijkt me toch echt een inbraakpoging (om in te loggen op de mail bedoel ik dan).

Ozzie, als jij de optie roundcube hebt, en je zit in Spanje aan een cocktail op het strand en verwacht dat je een belangrijke mail krijgt dan is het heel ongemakkelijk dat je dan zelf geband word op je mailserver he.

Het is een stukje vrijheid die je hebt natuurlijk. Als je die optie niet gebruikt/hebt kan je heb gewoon blokkeren he.

Ikzelf gebruik roundcube heel vaak, dus dat er ergens eens een poging word gedaan om in te loggen kan, maar die word ook gewoon geband. Alleen zou ik hem niet te strak afstellen als je zelf eens een tikfoutje maakt dan loop je het risico er zelf niet meer bij te kunnen. ;)

Heel bijzonder, dat is niet het soort bots dat je normaal voorbij ziet komen. Aan de andere kant, op de meeste servers die ik inricht heb ik ook geen SASL op poort 25, ik ontvang er alleen mail op, als je mail wilt versturen moet dat via submission (587) die wel SASL heeft. Uiteraard werkt lokaal mailen via 25 dan nog wel. Maar zoals gezegd: heel bijzonder, want het is praktisch niet te gokken wat een geldige user zou kunnen zijn, afgezien van de gebruikelijke info@, service@ etc. Áls het al zo is dat je e-mailadressen als gebruikersnaam gebruikt, dat hoeft niet eens.

>> Alleen zou ik hem niet te strak afstellen als je zelf eens een tikfoutje maakt dan loop je het risico er zelf niet meer bij te kunnen. ;)

Dat moet ik inderdaad voorkomen ;-) Hoewel ik dan zou kunnen inloggen op het panel en de ban ongedaan zou kunnen maken :-)

Maar dat stomme IP-adres stopt er dus telkens de nodige tijd tussen, waardoor hij niet wordt 'opgepikt' door Fail2Ban ... grrrr

>> Heel bijzonder ...

Nou, noem het maar gewoon irritant. Nou zit er ineens een uur tussen de laatste poging. De bot die er achter hangt is dus bewust zó ingesteld dat ie niet wordt opgemerkt. Aardig irritant!

Ach, als er zoveel tijd tussen zit zou ik me er gewoon niet druk om maken. Er is iets als teveel nadruk leggen op dit soort idiote details, ga je bezig houden met belangrijke zaken ;-)

Tja, dat zou je kunnen zeggen ... maar die klote bot gaat dag en nacht door. Die gaat m'n log met honderden regels per week vervuilen. Die moet dus keihard worden geband!

Als hij in dit tempo doorgaat doet hij weinig bijzonders, en maakt hij ook geen kans. Misschien is een belangrijke les ook het leren prioritiseren van verschillende zaken. Als voorbeeld: fail2ban is op zichzelf leuk, maar voor dit soort zaken is het vrij zinloos. Wanneer je hoge frequenties gaat zien van inlogpogingen kan fail2ban mooi ingrijpen, maar die laagfrequente zooi kun je net zo goed met rust laten. Het heeft geen meerwaarde om er wat aan te doen. En honderden regels.. tsja, de logs roteren toch wel weg. Als het geen tienduizenden worden, zoals bij legitiem mailverkeer ook al snel gebeurt zou ik er niet verder naar kijken. Zonde van de tijd (ja, ook alle geldige mail wordt gelogd).