postfix hardening: segitsen valaki

Sea-you: sajnos ezt eddig is tudtam es ennek ellenere nem mukodott de azert koszi.

congo: en meg posfix check_client_access-t irtam mar tobbszor, hogy abbol szeretnem megoldani nem iptables-el, tobbek kozt azert is, mert a postfix logban szeretnem nezegetni a postfix dolgait nem pedig sok helyrol osszeollozni, hogy mi tortenik

egyebkent az aktulis kocsog problemaja megoldodott, mert megunta par het utan, hogy kivagja allandoan a postfix es mar nem probalkozik (probalkozik mas helyette :)).

Sziasztok!
Kellene 1 kis segitseg postfix ugyben.
Sajat domainemhez sajat MX rekorddal rendelkezo postfixet allitottam be.
Mar sikerult megoldanom, hogy ne legyen open relay, sot meg tovabbi biztonsagi beallitasokat is csinaltam, de van par kocsog aki mar nagyon idegesit, tele van veluk a log, allandoan probalkozik (5 percenkent) random username-el (par naponta) a domainemre kuldeni, szerencsere csinaltam local_recipient_maps-ot, de elobb utobb ratalal a usernevemre igy, nem lehet az ilyen parasztokat valahogy vegleg eltavolitani?
Termeszetesen postfix konfigolassal, nem iptables-el, ugy hogy a jovoben a tobbi ilyen kocsog se tudjon nyomulni?
Mondjuk ugy, hogy be se tudjon helozni a postfixnek?
Csinaltam access filet is ez tettem bele:
[code:1:4e8243ae01]202.17. REJECT[/code:1:4e8243ae01]
a main.cf-be pedig ezt:
[code:1:4e8243ae01]smtpd_client_restrictions = permit_mynetworks, permit_mx_backup, reject_unknown_client,
check_client_access hash:/etc/postfix/access,
reject_rbl_client relays.ordb.org, permit[/code:1:4e8243ae01]
de nem segitett, hogy eltunjon a paraszt (vagy a paraszt worm-ja)
:(
Segitesen valaki legyszi!

[code:1:4e8243ae01]Jan 3 13:34:24 brumi postfix/smtpd[28057]: timeout after RSET from vega.kagoshima-ct.ac.jp[202.17.210.2]
Jan 3 13:34:24 brumi postfix/smtpd[28057]: disconnect from vega.kagoshima-ct.ac.jp[202.17.210.2]
Jan 3 14:07:25 brumi postfix/smtpd[28611]: connect from vega.kagoshima-ct.ac.jp[202.17.210.2]
Jan 3 14:07:27 brumi postfix/smtpd[28611]: 335E032A: client=vega.kagoshima-ct.ac.jp[202.17.210.2]
Jan 3 14:12:30 brumi postfix/smtpd[28611]: timeout after RSET from vega.kagoshima-ct.ac.jp[202.17.210.2]
Jan 3 14:12:30 brumi postfix/smtpd[28611]: disconnect from vega.kagoshima-ct.ac.jp[202.17.210.2][/code:1:4e8243ae01]szerkesztve: kicsit lecsokkentettem a log-ot de ezzel van tele

nos kedves mindenki, koszonom a tippeket de ezeken mar reg tul vagyok, mint irtam is a temanyitoban:

nem iptables-el szeretnem kinyomni, mert elobb utobb k*rvahosszu lesz a listam meg az nem igen jo ha egesz nap ezeket a parasztokat figyelgetem es tiltogatom folyamatosan az uj ip-iket

akkor mar egyszerubb lenne a postfix access listaval manipulalni, azt is akartam megcsinalni, amint irtam mar fentebb, de valamiert nem tiltja ki, hiaba van ott a paraszt /16 halojara a reject: 202.17. REJECT
[code:1:05388d6380]smtpd_client_restrictions = permit_mynetworks, permit_mx_backup, reject_unknown_client,
check_client_access hash:/etc/postfix/access,
reject_rbl_client relays.ordb.org, permit[/code:1:05388d6380]

local_recipient_maps be volt allitva altalam, mint irtam, ezert is vagja ki, miutan nem talalja el a usernevem, de 1x sikerulhet neki

de rohadtul idegesito, es ezert is masoltam be kicsit tobbet, latszodjon, hogy hasznalhatatlanna teszi a log-ot azzal, hogy 99%ban o szerepel benne.

Sea-you: te a volt nextra-s Sea-you vagy? +ircnet? akkor udv! :) /me MACi!brumi@*

[quote:0e8ac9b96d="congo"]ha tényleg nagyon idegesít, akkor írj egy scriptet ami x db nemlétező mailcímmel való próbálkozás után kitiltja csomagszűrőből a címét, és kész.
nem a legjobb megoldás, de működik...

jo de hiaba irok olyan scriptet, ami hozzacsapja a postfix access listahoz ha nem mukodik a check_client_access hash:/etc/postfix/access