SMTP Authを何度も試みててくるIPアドレスをブロックする【postfix】

postfixで何度もSMTP Auth をしてくるSPAMメールの業者のIPアドレスをブロックする

メールサーバーを運用していると、海外からのSPAM業者がSTMPサーバーにアクセスしてきます。いちようメールサーバーはSMTP認証をしているので、メールログには以下のような「authentication failed」ログで溢れていきます

数回程度のSMTP認証で失敗になら使用しているユーザーも考えられますが、複数回失敗しているなら間違いなく迷惑メールを送信している業者が高いので、この「authentication failed」でSMTP認証を失敗しているIPアドレスを拾って、そのIPアドレスをiptableや、特定のIPアドレスからアクセスを拒否る設定ができる「smtpd_client_restrictions =check_client_access:hash:【ファイ名】」等で設定してアクセスを拒否します

maillogから、「authentication failed」のあるIPアドレスを抽出します。

余計な文字列があるので抽出したIPアドレスを含む文字列を別ファイルに出力してからsedコマンドで整形さるシェルスクリプトを作ります

「/var/tmp/fail_top10.txt」に「authentication failed」のログが多いIPアドレスが抽出できますので、そのファイルを読み込んでiptables等のIPアドレスを拒否するようなシェルスクリプトを作ります

 

スポンサーリンク