Re: [Exim-users] SMTP protocol error in "AUTH LOGIN"

2018-09-25 Пенетрантность Mikhail Golub 

Спасибо.

Я как-то раньше задавался этим вопросом, но ответа не нашел.
Искал в англоязычной рассылке - там тоже предлагали парсить логи, 
использовать fail2ban ...


Хотелось попроще.
Описанный вариант (run shell) работает уже для некоторых правил.

Вариант с SQL - вариант. Но ...
"Лучше уж сделать кондишн с sql запросом, который положит нужный 
ip/дату_время в базу" - вопрос тот же - где этот конфишн (в каком acl) 
разместить?



25.09.2018 11:00, Vladimir Sharun пишет:

Привет,

tail на логи и ловить/парсить нужную строку.

Ты не попадёшь ни в один из ACL'ей, потому что это кейс - syntax error:
https://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_authentication.html
*If the connection is not using extended SMTP (that is, HELO was used 
rather than EHLO), the use of AUTH= is a syntax error.*


И да, вариант с run shell - это перебор. Лучше уж сделать кондишн с sql 
запросом, который положит нужный ip/дату_время в базу, а внешний скрипт 
раз в секунду поллит изменения в таблице - забирает оттуда новеньких и 
пушит в файрвольную таблицу новый айтем. Держать в базе также полезно, 
потому что у тебя всегда есть доказательства, когда какой хост накосячил.


У нас таких странных на 12 часов в бан, потом бан снимается до след. 
инцидента.


/25 вересня 2018, 09:11:52, від "Mikhail Golub" >:/


Доброго времени суток.

Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их
заблокировать (событие указано ниже)?

Exim собран без авторизации:
Exim version 4.91 #3 (FreeBSD 11.2) built 27-Aug-2018 11:58:37
Copyright (c) University of Cambridge,1995 - 2018
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file,2007  
-2018

Probably Berkeley DB version 1.8x (native mode)
Support for: iconv() use_setclassresources Expand_dlfunc OpenSSL PRDR
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm
dbmjz dbmnz dnsdb dsearch passwd
Authenticators:
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp
Fixed never_users: 0
Configure owner: 0:0
Size of off_t: 8
Configuration file is /usr/local/etc/exim/configure


Подобные коннекты напрягают (не мешают, но лог забивают):
2018-09-25 05:04:18 SMTP connection from [182.38.95.137] (TCP/IP
connection count = 1)
2018-09-25 05:04:19 SMTP protocol error in "AUTH LOGIN"
H=(vcuawmzrqq.com) [182.38.95.137] AUTH command used when not advertised
2018-09-25 05:04:20 SMTP connection from (vcuawmzrqq.com)
[182.38.95.137] lost D=1s


Хочу через такое правило добавлять хост в таблицу firewall-а:
continue = ${run{SHELL -c "/usr/local/bin/sudo -u root /sbin/pfctl -t
blocksmtp -T add $sender_host_address"}}

Но в какой ACL его добавить ..?



___
Exim-users mailing list
Exim-users@mailground.net 
http://mailground.net/mailman/listinfo/exim-users



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] SMTP protocol error in "AUTH LOGIN"

2018-09-25 Пенетрантность Vladimir Sharun 
Привет,

tail на логи и ловить/парсить нужную строку.

Ты не попадёшь ни в один из ACL'ей, потому что это кейс - syntax error:
https://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_authentication.html
If the connection is not using extended SMTP (that is, HELO was used rather 
than EHLO), the use of AUTH= is a syntax error.

И да, вариант с run shell - это перебор. Лучше уж сделать кондишн с sql 
запросом, который положит нужный ip/дату_время в базу, а внешний скрипт раз в 
секунду поллит изменения в таблице - забирает оттуда новеньких и пушит в 
файрвольную таблицу новый айтем. Держать в базе также полезно, потому что у 
тебя всегда есть доказательства, когда какой хост накосячил.

У нас таких странных на 12 часов в бан, потом бан снимается до след. инцидента.

25 вересня 2018, 09:11:52, від "Mikhail Golub" :

Доброго времени суток.

Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их 
заблокировать (событие указано ниже)?

Exim собран без авторизации:
Exim version 4.91 #3 (FreeBSD 11.2) built 27-Aug-2018 11:58:37
Copyright (c) University of Cambridge, 1995 - 2018
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 
- 2018
Probably Berkeley DB version 1.8x (native mode)
Support for: iconv() use_setclassresources Expand_dlfunc OpenSSL PRDR
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm 
dbmjz dbmnz dnsdb dsearch passwd
Authenticators:
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp
Fixed never_users: 0
Configure owner: 0:0
Size of off_t: 8
Configuration file is /usr/local/etc/exim/configure


Подобные коннекты напрягают (не мешают, но лог забивают):
2018-09-25 05:04:18 SMTP connection from [182.38.95.137] (TCP/IP 
connection count = 1)
2018-09-25 05:04:19 SMTP protocol error in "AUTH LOGIN" 
H=(vcuawmzrqq.com) [182.38.95.137] AUTH command used when not advertised
2018-09-25 05:04:20 SMTP connection from (vcuawmzrqq.com) 
[182.38.95.137] lost D=1s


Хочу через такое правило добавлять хост в таблицу firewall-а:
continue = ${run{SHELL -c "/usr/local/bin/sudo -u root /sbin/pfctl -t 
blocksmtp -T add $sender_host_address"}}

Но в какой ACL его добавить ..?



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] SMTP protocol error in "AUTH LOGIN"

2018-09-25 Пенетрантность George L. Yermulnik 
Hello!

On Tue, 25 Sep 2018 at 09:11:07 (+0300), Mikhail Golub wrote:

> Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их 
> заблокировать (событие указано ниже)?

> Подобные коннекты напрягают (не мешают, но лог забивают):
> 2018-09-25 05:04:18 SMTP connection from [182.38.95.137] (TCP/IP 
> connection count = 1)
> 2018-09-25 05:04:19 SMTP protocol error in "AUTH LOGIN" 
> H=(vcuawmzrqq.com) [182.38.95.137] AUTH command used when not advertised
> 2018-09-25 05:04:20 SMTP connection from (vcuawmzrqq.com) 
> [182.38.95.137] lost D=1s

> Хочу через такое правило добавлять хост в таблицу firewall-а:
> continue = ${run{SHELL -c "/usr/local/bin/sudo -u root /sbin/pfctl -t 
> blocksmtp -T add $sender_host_address"}}

> Но в какой ACL его добавить ..?

Если я правильно понял (а могу понять и неправильно), то нету такого
acl'я, чтобы "словить" использование auth, если он не был предложен.
Поэтому, вероятно нужно смотреть в сторону fail2ban и иже с ним.

-- 
George L. Yermulnik
[YZ-RIPE]

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] SMTP protocol error in "AUTH LOGIN"

2018-09-25 Пенетрантность Mikhail Golub 

Доброго времени суток.

Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их 
заблокировать (событие указано ниже)?


Exim собран без авторизации:
Exim version 4.91 #3 (FreeBSD 11.2) built 27-Aug-2018 11:58:37
Copyright (c) University of Cambridge, 1995 - 2018
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 
- 2018

Probably Berkeley DB version 1.8x (native mode)
Support for: iconv() use_setclassresources Expand_dlfunc OpenSSL PRDR
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm 
dbmjz dbmnz dnsdb dsearch passwd

Authenticators:
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp
Fixed never_users: 0
Configure owner: 0:0
Size of off_t: 8
Configuration file is /usr/local/etc/exim/configure


Подобные коннекты напрягают (не мешают, но лог забивают):
2018-09-25 05:04:18 SMTP connection from [182.38.95.137] (TCP/IP 
connection count = 1)
2018-09-25 05:04:19 SMTP protocol error in "AUTH LOGIN" 
H=(vcuawmzrqq.com) [182.38.95.137] AUTH command used when not advertised
2018-09-25 05:04:20 SMTP connection from (vcuawmzrqq.com) 
[182.38.95.137] lost D=1s



Хочу через такое правило добавлять хост в таблицу firewall-а:
continue = ${run{SHELL -c "/usr/local/bin/sudo -u root /sbin/pfctl -t 
blocksmtp -T add $sender_host_address"}}


Но в какой ACL его добавить ..?



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users