Postfix - Frage zu Logeintrag

[Jimini]

Aloha,

pro Tag versuchen häufig einige Adressen, unberechtigterweise auf meinen Mailserver zuzugreifen. Mir ist bewusst, dass sowas zum "Online-Hintergrundrauschen" gehört, da ich aber gerne meine Logs möglichst sauber halte, möchte ich solche Adressen automatisch blocken lassen.
Aktuell verwende ich dazu fail2ban, welches die Logs neuerdings auf "warning: hostname .+ does not resolve to address <HOST>" durchsucht. Taucht nun ein solcher Eintrag auf, wird der Host geblockt.
In den letzten Monaten und Jahren habe ich mich darauf beschränkt, solche Einträge zu ignorieren - bisher war das für mich ein sicheres Indiz für Spam bzw. unerwünschte Verbindungsaufbauten.

Blöderweise wurde gestern aber eine Adresse geblockt, welche von einem Client mit einem Mailaccount auf der Kiste stammt:

Feb 11 08:59:01 postfix/smtpd[10681]: warning: hostname no-reverse-dns-configured.com does not resolve to address 89.248.171.131
Feb 11 09:13:31 postfix/smtpd[19543]: warning: hostname no-reverse-dns-configured.com does not resolve to address 89.248.171.131
Feb 12 13:49:11 postfix/smtpd[26664]: warning: hostname no-reverse-dns-configured.com does not resolve to address 94.102.48.193
Feb 12 17:34:11 postfix/smtpd[3190]: warning: hostname cable-5-28-xx-xx.cust.telecolumbus.net does not resolve to address 5.28.xx.xx
Feb 12 17:49:03 postfix/smtpd[3889]: warning: hostname cable-5-28-xx-xx.cust.telecolumbus.net does not resolve to address 5.28.xx.xx
Feb 13 07:15:46 postfix/smtpd[23111]: warning: hostname no-reverse-dns-configured.com does not resolve to address 94.102.49.54

Es handelt sich somit um ein false positive. Spammer versuchen sich allerdings zu verbinden, werden abgelehnt und schließen die Verbindung wieder. Clients, welche sich einloggen, können natürlich eine Verbindung herstellen. Allerdings wird trotzdem eine Warnung ausgegeben, wie man sieht.
Ich müsste also ein Kriterium finden, mit welchem ich Logeinträge wie die folgenden sicher erfassen kann, ohne false positives zu erzeugen:

Feb 7 01:44:33 postfix/smtpd[12162]: connect from unknown[208.93.4.209]
Feb 7 01:44:35 postfix/smtpd[12162]: disconnect from unknown[208.93.4.209]
Feb 7 02:04:23 postfix/smtpd[20958]: connect from saint.lebanonmedics.com[95.140.39.124]
Feb 7 02:04:23 postfix/smtpd[20958]: disconnect from saint.lebanonmedics.com[95.140.39.124]
Feb 7 02:13:02 postfix/smtpd[21271]: warning: hostname bd061a8f.virtua.com.br does not resolve to address 189.6.26.143
Feb 7 02:13:02 postfix/smtpd[21271]: connect from unknown[189.6.26.143]
Feb 7 02:13:03 postfix/smtpd[21271]: lost connection after RCPT from unknown[189.6.26.143]
Feb 7 02:13:03 postfix/smtpd[21271]: disconnect from unknown[189.6.26.143]
Feb 7 02:33:41 postfix/smtpd[21995]: connect from unknown[116.110.173.226]
Feb 7 02:33:42 postfix/smtpd[21995]: lost connection after RCPT from unknown[116.110.173.226]
Feb 7 02:33:42 postfix/smtpd[21995]: disconnect from unknown[116.110.173.226]
Feb 7 02:37:38 postfix/smtpd[22132]: warning: hostname br05.srvmatrix.info does not resolve to address 177.11.51.68: Name or service not known
Feb 7 02:37:38 postfix/smtpd[22132]: connect from unknown[177.11.51.68]
Feb 7 02:37:39 postfix/smtpd[22132]: warning: non-SMTP command from unknown[177.11.51.68]: From: xxxx
Feb 7 02:37:39 postfix/smtpd[22132]: disconnect from unknown[177.11.51.68]
Feb 7 02:53:27 postfix/smtpd[22689]: connect from saint.lebanonmedics.com[95.140.39.124]
Feb 7 02:53:27 postfix/smtpd[22689]: disconnect from saint.lebanonmedics.com[95.140.39.124]
Feb 7 02:53:47 postfix/smtpd[22689]: connect from ppp079166091081.access.hol.gr[79.166.91.81]
Feb 7 02:53:48 postfix/smtpd[22689]: lost connection after RCPT from ppp079166091081.access.hol.gr[79.166.91.81]
Feb 7 02:53:48 postfix/smtpd[22689]: disconnect from ppp079166091081.access.hol.gr[79.166.91.81]
Feb 7 03:05:03 postfix/smtpd[31128]: connect from saint.lebanonmedics.com[95.140.39.124]
Feb 7 03:05:03 postfix/smtpd[31128]: disconnect from saint.lebanonmedics.com[95.140.39.124

Hat jemand eine Idee?

MfG Jimini

 

[keinnick]

Ich würde nach fehlgeschlagenen Logins suchen und anhand dieser Einträge die jeweiligen IPs blocken. Vielleicht hilft Dir das hier weiter: Postfix in Fail2Ban sinnvoll einbinden - IT-Blog by Franz Kinader