# Postfix - Frage zu Logeintrag



## Jimini (13. Februar 2016)

Aloha,

pro Tag versuchen häufig einige Adressen, unberechtigterweise auf meinen Mailserver zuzugreifen. Mir ist bewusst, dass sowas zum "Online-Hintergrundrauschen" gehört, da ich aber gerne meine Logs möglichst sauber halte, möchte ich solche Adressen automatisch blocken lassen.
Aktuell verwende ich dazu fail2ban, welches die Logs neuerdings auf "warning: hostname .+ does not resolve to address <HOST>" durchsucht. Taucht nun ein solcher Eintrag auf, wird der Host geblockt. 
In den letzten Monaten und Jahren habe ich mich darauf beschränkt, solche Einträge zu ignorieren - bisher war das für mich ein sicheres Indiz für Spam bzw. unerwünschte Verbindungsaufbauten.

Blöderweise wurde gestern aber eine Adresse geblockt, welche von einem Client mit einem Mailaccount auf der Kiste stammt:


> Feb 11 08:59:01 postfix/smtpd[10681]: warning: hostname no-reverse-dns-configured.com does not resolve to address 89.248.171.131
> Feb 11 09:13:31 postfix/smtpd[19543]: warning: hostname no-reverse-dns-configured.com does not resolve to address 89.248.171.131
> Feb 12 13:49:11 postfix/smtpd[26664]: warning: hostname no-reverse-dns-configured.com does not resolve to address 94.102.48.193
> *Feb 12 17:34:11 postfix/smtpd[3190]: warning: hostname cable-5-28-xx-xx.cust.telecolumbus.net does not resolve to address 5.28.xx.xx
> ...



Es handelt sich somit um ein false positive. Spammer versuchen sich allerdings zu verbinden, werden abgelehnt und schließen die Verbindung wieder. Clients, welche sich einloggen, können natürlich eine Verbindung herstellen. Allerdings wird trotzdem eine Warnung ausgegeben, wie man sieht. 
Ich müsste also ein Kriterium finden, mit welchem ich Logeinträge wie die folgenden sicher erfassen kann, ohne false positives zu erzeugen:


> Feb  7 01:44:33 postfix/smtpd[12162]: connect from unknown[208.93.4.209]
> Feb  7 01:44:35 postfix/smtpd[12162]: disconnect from unknown[208.93.4.209]
> Feb  7 02:04:23 postfix/smtpd[20958]: connect from saint.lebanonmedics.com[95.140.39.124]
> Feb  7 02:04:23 postfix/smtpd[20958]: disconnect from saint.lebanonmedics.com[95.140.39.124]
> ...



Hat jemand eine Idee?

MfG Jimini


----------



## keinnick (13. Februar 2016)

Ich würde nach fehlgeschlagenen Logins suchen und anhand dieser Einträge die jeweiligen IPs blocken. Vielleicht hilft Dir das hier weiter: Postfix in Fail2Ban sinnvoll einbinden - IT-Blog by Franz Kinader


----------

