Mavrikii
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возник и у меня вопрос.
Есть ли возможность использовать проверку IP адреса через check_policy_service и REJECT сразу, не используя smtpd_delay_reject = no ?
Зачем нужно - долбятся китайцы с брутом, хочу резать по стране, но с smtpd_delay_reject = yes отказ будет только после RCPT TO, до которого не доходит и хочется отфутболивать сразу. С доставкой из Китая проблем не будет, так как MX указывает на гейт. Да, у меня настроен fail2ban, банящий сначала на несколько часов, потом на месяц. Но они просто уже достали за несколько лет. Так как приходит мыло только о долговременном бане, а отключать его тоже не хочется. Да и брут ну просто тупой, куча запросов на юзверя nologin с аналогичным паролем.
В принципе можно еще отключать AUTH как тут
https://unix.stackexchange.com/questions/156170/why-doesnt-postfix-reject-a-specific-clients-connection-attempts
но оно работает только с таблицами, а мне нужно использовать скрипт, который определяет страну.
либо скачивать IP листы Китая...
Цитата: Current Postfix versions postpone the evaluation of client, helo and sender restriction lists until the RCPT TO or ETRN command. This behavior is controlled by the smtpd_delay_reject parameter. Restriction lists are still evaluated in the proper order of (client, helo, etrn) or (client, helo, sender, relay, recipient, data, or end-of-data) restrictions. When a restriction list (example: client) evaluates to REJECT or DEFER the restriction lists that follow (example: helo, sender, etc.) are skipped.
Around the time that smtpd_delay_reject was introduced, Postfix was also changed to support mixed restriction lists that combine information about the client, helo, sender and recipient or etrn command. |
|
Всего записей: 15846 | Зарегистр. 20-09-2014 | Отправлено: 08:52 12-04-2021 | Исправлено: Mavrikii, 09:06 12-04-2021 |
|
