[Exim-users] SMTP protocol error in "AUTH LOGIN"

Mikhail Golub gmn на gmn.org.ua
Вт Сен 25 08:19:07 UTC 2018


Спасибо.

Я как-то раньше задавался этим вопросом, но ответа не нашел.
Искал в англоязычной рассылке - там тоже предлагали парсить логи, 
использовать fail2ban ...

Хотелось попроще.
Описанный вариант (run shell) работает уже для некоторых правил.

Вариант с SQL - вариант. Но ...
"Лучше уж сделать кондишн с sql запросом, который положит нужный 
ip/дату_время в базу" - вопрос тот же - где этот конфишн (в каком acl) 
разместить?


25.09.2018 11:00, Vladimir Sharun пишет:
> Привет,
> 
> tail на логи и ловить/парсить нужную строку.
> 
> Ты не попадёшь ни в один из ACL'ей, потому что это кейс - syntax error:
> https://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_authentication.html
> *If the connection is not using extended SMTP (that is, HELO was used 
> rather than EHLO), the use of AUTH= is a syntax error.*
> 
> И да, вариант с run shell - это перебор. Лучше уж сделать кондишн с sql 
> запросом, который положит нужный ip/дату_время в базу, а внешний скрипт 
> раз в секунду поллит изменения в таблице - забирает оттуда новеньких и 
> пушит в файрвольную таблицу новый айтем. Держать в базе также полезно, 
> потому что у тебя всегда есть доказательства, когда какой хост накосячил.
> 
> У нас таких странных на 12 часов в бан, потом бан снимается до след. 
> инцидента.
> 
> /25 вересня 2018, 09:11:52, від "Mikhail Golub" <gmn на gmn.org.ua 
> <mailto:gmn на gmn.org.ua>>:/
> 
>     Доброго времени суток.
> 
>     Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их
>     заблокировать (событие указано ниже)?
> 
>     Exim собран без авторизации:
>     Exim version 4.91 #3 (FreeBSD 11.2) built 27-Aug-2018 11:58:37
>     Copyright (c) University of Cambridge,1995 - 2018
>     (c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file,2007  
>     -2018
>     Probably Berkeley DB version 1.8x (native mode)
>     Support for: iconv() use_setclassresources Expand_dlfunc OpenSSL PRDR
>     Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm
>     dbmjz dbmnz dnsdb dsearch passwd
>     Authenticators:
>     Routers: accept dnslookup ipliteral manualroute queryprogram redirect
>     Transports: appendfile/mbx autoreply pipe smtp
>     Fixed never_users: 0
>     Configure owner: 0:0
>     Size of off_t: 8
>     Configuration file is /usr/local/etc/exim/configure
> 
> 
>     Подобные коннекты напрягают (не мешают, но лог забивают):
>     2018-09-25 05:04:18 SMTP connection from [182.38.95.137] (TCP/IP
>     connection count = 1)
>     2018-09-25 05:04:19 SMTP protocol error in "AUTH LOGIN"
>     H=(vcuawmzrqq.com) [182.38.95.137] AUTH command used when not advertised
>     2018-09-25 05:04:20 SMTP connection from (vcuawmzrqq.com)
>     [182.38.95.137] lost D=1s
> 
> 
>     Хочу через такое правило добавлять хост в таблицу firewall-а:
>     continue = ${run{SHELL -c "/usr/local/bin/sudo -u root /sbin/pfctl -t
>     blocksmtp -T add $sender_host_address"}}
> 
>     Но в какой ACL его добавить ..?
> 
> 
> 
>     _______________________________________________
>     Exim-users mailing list
>     Exim-users на mailground.net <mailto:Exim-users на mailground.net>
>     http://mailground.net/mailman/listinfo/exim-users
> 
> 
> 
> _______________________________________________
> Exim-users mailing list
> Exim-users на mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 





Подробная информация о списке рассылки Exim-users