Postfix: Spam-Versuch per SASL

[wurzlhaerbert]

Moin,

seit einiger Zeit habe ich ganz witzige Einträge im Log:

Jan 31 14:32:33 (23) postfix/smtpd[29206]: sql_select option missing
Jan 31 14:32:33 (23) postfix/smtpd[29206]: auxpropfunc error no mechanism available
Jan 31 14:32:33 (27) postfix/smtpd[29206]: _sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql
Jan 31 14:32:33 (14) postfix/smtpd[29206]: warning: 62.85.136.247: address not listed for hostname 247.136.85-62.rev.gaoland.net
Jan 31 14:32:33 (16) postfix/smtpd[29206]: connect from unknown[62.85.136.247]
Jan 31 14:32:40 (16) postfix/policyd-weight[11755]: weighted check: DSBL_ORG=ERR(0) CL_IP_NE_HELO=1.5 REV_IP_EQ_HELO_DOMAIN=-1.25 (check from: .gaoland. - helo: .gaoland. - helo-domain: .gaoland.)  FROM/MX_MATCHES_UNVR_HELO(DOMAIN)=-1.5; <client=62.85.136.247> <helo=gaoland.net> <from=aduymah2520@gaoland.net> <to=thisisjusttestletter@mydomain.de>; rate: -1.25
Jan 31 14:32:40 (16) postfix/policyd-weight[11755]: decided action=PREPEND X-policyd-weight:  CL_IP_NE_HELO=1.5 REV_IP_EQ_HELO_DOMAIN=-1.25 (check from: .gaoland. - helo: .gaoland. - helo-domain: .gaoland.)  FROM/MX_MATCHES_UNVR_HELO(DOMAIN)=-1.5; rate: -1.25; <client=62.85.136.247> <helo=gaoland.net> <from=aduymah2520@gaoland.net> <to=thisisjusttestletter@mydomain.de>; delay: 7s
Jan 31 14:32:40 (16) postfix/smtpd[29206]: NOQUEUE: reject: RCPT from unknown[62.85.136.247]: 550 5.1.1 <thisisjusttestletter@mydomain.de>: Recipient address rejected: undeliverable address; from=<aduymah2520@gaoland.net> to=<thisisjusttestletter@mydomain.de> proto=ESMTP helo=<gaoland.net>
Jan 31 14:32:40 (16) postfix/smtpd[29206]: disconnect from unknown[62.85.136.247]

Wenn ich das mal fei interpretiere, sieht das so aus:

• Irgendjemand will sich per SASL anmelden
• Das klappt nicht
• Also durchläuft er die restrictions
• Wird sogar akzeptiert! AAAHH
• Und scheitert nur am unbekannten Empfänger

Passiert das nur mir, oder gibt's noch andere Vorfälle?

Als Lösung fällt mir spontan nur fail2ban ein.
Hat jemand einen besseren Vorschlag?


cu... wURzL

 

[Thorsten]

Hallo!
62.85.136.247 will doch dir eine Mail zustellen - das dürfte mit Authentifizierung noch nichts zu tun haben. Ich betreibe kein Postfix mit SQL Anbindung, aber irgendwie sieht

_sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql

nicht ganz korrekt aus.

mfG
Thorsten

 

[wurzlhaerbert]

62.85.136.247 will doch dir eine Mail zustellen - das dürfte mit Authentifizierung noch nichts zu tun haben.

Nunja, ca. 96% der Zustellversuche rejecte ich. Daher könnte ich mir vorstellen, dass man es nun auch mal per SASL versucht. Denn per SASL kommen normalerweise Kunden rein für die ich der Relay bin.
Ich gehe natürlich davon aus, dass die Mail an thisisjusttestletter@ Spam ist.

Ich betreibe kein Postfix mit SQL Anbindung, aber irgendwie sieht

_sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql

nicht ganz korrekt aus.

Das hätte ich etwas besser erklären müssen:

sql_select option missing
auxpropfunc error no mechanism available
_sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql

Bei SASL ist meines Wissens das auxprop Plugin für die Authentifizierung der Benutzer zuständig. Man kann verschiedene Module verwenden: ldap, mysql, usw. Bei allen Googleversuchen habe ich aber nur Einträge gefunden, die erklären, dass man doch das SQL-Modul entfernen soll, damit dieser Fehler nicht mehr auftritt.

Aber ich verwende ausschließlich die Datenbank zur Anmeldung. Also bedeuten für mich diese 3 Zeilen folgendes:

• Parameter zur Anmeldung fehlen (doch nicht etwa Benutzername und Passwort?).
• Die auxpropfunc hat keine Module mehr übrig und sagt Servus.
• SASL sagt auch Servus.

Wenn man nun im Postfix einen Schalter hätte, um für SASL den Debuglevel höher zu stellen, wäre das super.
Dann müsste es noch eine Funktion im Sinne von "reject_sasl_unauthorized_try" geben.

cu... wURzL