Attaques postfix non bannies

Bonjour,

Je remarque des attaques postfix dans les logs qui perturbent les services WEB d’un serveur Debian 9 et ne sont pas bannies par fail2ban:

Feb 27 00:00:04 ks307144 postfix/postscreen[26029]: CONNECT from [77.247.110.113]:64676 to [ip.du.serv.eur]:25
Feb 27 00:00:04 ks307144 postfix/postscreen[26029]: PREGREET 14 after 0.05 from [77.247.110.113]:64676: EHLO ylmf-pc\r\n
Feb 27 00:00:04 ks307144 postfix/postscreen[26029]: DISCONNECT [77.247.110.113]:64676
Feb 27 00:00:04 ks307144 postfix/postscreen[26029]: CONNECT from [77.247.110.113]:59444 to [ip.du.serv.eur]:25
Feb 27 00:00:04 ks307144 postfix/postscreen[26029]: PREGREET 14 after 0.05 from [77.247.110.113]:59444: EHLO ylmf-pc\r\n
Feb 27 00:00:04 ks307144 postfix/postscreen[26029]: DISCONNECT [77.247.110.113]:59444
Feb 27 00:00:04 ks307144 systemd[1]: man-db.service: Succeeded.
Feb 27 00:00:04 ks307144 systemd[1]: Started Daily man-db regeneration.
Feb 27 00:00:06 ks307144 postfix/postscreen[26029]: CONNECT from [77.247.110.113]:61228 to [ip.du.serv.eur]:25
Feb 27 00:00:06 ks307144 postfix/postscreen[26029]: PREGREET 14 after 0.05 from 
...
Feb 27 07:37:05 ks307144 postfix/postscreen[26029]: CONNECT from [77.247.110.113]:52036 to [ip.du.serv.eur]:25
Feb 27 07:37:05 ks307144 postfix/postscreen[26029]: PREGREET 14 after 0.04 from [77.247.110.113]:52036: EHLO ylmf-pc\r\n
Feb 27 07:37:05 ks307144 postfix/postscreen[26029]: DISCONNECT [77.247.110.113]:52036
Feb 27 07:37:06 ks307144 postfix/postscreen[26029]: CONNECT from [77.247.110.113]:55323 to [ip.du.serv.eur]:25
Feb 27 07:37:06 ks307144 postfix/postscreen[26029]: PREGREET 14 after 0.05 from [77.247.110.113]:55323: EHLO ylmf-pc\r\n
Feb 27 07:37:06 ks307144 postfix/postscreen[26029]: DISCONNECT [77.247.110.113]:55323
Feb 27 07:37:06 ks307144 postfix/postscreen[26029]: CONNECT from [77.247.110.113]:56835 to [ip.du.serv.eur]:25
Feb 27 07:37:06 ks307144 postfix/postscreen[26029]: PREGREET 14 after 0.05 from [77.247.110.113]:56835: EHLO ylmf-pc\r\n
Feb 27 07:37:06 ks307144 postfix/postscreen[26029]: DISCONNECT [77.247.110.113]:56835
Feb 27 07:37:06 ks307144 postfix/postscreen[26029]: CONNECT from [77.247.110.113]:54462 to [ip.du.serv.eur]:25

Mais cette IP qui se connecte/déconnecte pendant 7 heures sans réussir à envoyer aucun message ne semble pas bannie par fail2ban à 9h52 malgré 2 jails postfix:

$ sudo fail2ban-client status
Status
|- Number of jail:      16
`- Jail list:   apache-badbots, apache-botsearch, apache-fakegooglebot, apache-nohome, apache-noscript, apache-overflows, dovecot, dovecot-pop3imap, joomla-login-errors, mysqld-auth, pam-generic, postfix, postfix-sasl, pureftpd, recidive, sshd

Quelqu’un sait-il s’il y a une jail fail2ban qui bannirait ce type d’attaque ?

je te conseille de chroot tes services critiques

As-tu configurer Postfix pour ne répondre qu’au IP voulu ?

J’ai pas regarder de fond en combles cet article : https://www.milbako.com/postfix-securite-et-confidentialite-guide-de-renforcement/

Mais il y a pléthore d’article expliquant comment on protège Postfix … par défaut la jail de postfix ne surveille que les authentifications donc inutile face à ce que tu rencontre.

Ton serveur ne devais pas être accessible depuis l’extérieur ou permettre le relais … après Postscreen je ne pratique pas donc bon … mis à part vérifier sa configuration je ne saurai trop te conseillé.
Cet article aborde l’aspect Postcreen lié à Fail2ban :

Je ne vois d’ailleurs aucune jail Postcreen … c’est sans doute lié

En quoi un chroot protègera plus le service Postfix, je me le demande …

Merci pour vos messages.

J’ai eu la flemme de vérifier toute la conf postfix, j’ai abandonné à la ligne
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
Sais pas comment relire cette base mysql ni ajouter mes domaines autorisés.
Mais j’ai vérifié que mon serveur n’est pas open relay avec https://mxtoolbox.com/diagnostic.aspx

Par contre j’ai introduit la jail postscreen indiquée. Je pense qu’il ne devrait plus y avoir ce type d’attaque maintenant.