Alguien está tratando de forzar la fuerza bruta (?) mi servidor de correo privado ... muy ... lentamente ... y con IP cambiantes

  

¿Cuál es el punto de este tipo de "ataque"? La tasa es demasiado lenta para realizar cualquier fuerza bruta eficiente, y realmente dudo que alguien se dirija específicamente a mi pequeño servidor personal.

¿La velocidad es lenta o la cantidad total de datos que se envían es pequeña? Puede que estés viendo conexiones muy raramente, pero ¿cómo sabes que los robots que realizan el forzamiento brutal no saturan constantemente sus enlaces ascendentes, y tu sitio es solo uno de los muchos que están siendo atacados? No hay ninguna ventaja para que un atacante pase poco tiempo yendo de un sitio a la vez (y desencadene fail2ban), en comparación con atacar a una gran cantidad de servidores a la vez, donde cada servidor solo ve conexiones poco frecuentes. Ambos pueden tener la misma tasa de intentos de autenticación salientes por segundo.

  

¿Puedo hacer algo contra él, excepto prohibir el rango de IP completo del proveedor (o ignorar los mensajes, ya que mis contraseñas son seguras)?

Es poco probable. Las posibilidades son que provienen de una botnet o un grupo de VPS de bajo costo. No es posible determinar qué otros rangos de IP se están utilizando solo al ver algunos de estos. Si no están en la misma subred, no se pueden predecir. Puede ignorar estas conexiones de forma segura. No es más que el ruido de fondo de internet.

Pregunta 1: a menos que sea una configuración incorrecta (como se menciona en los comentarios), en mi experiencia, parece que se trata de ataques automáticos en busca de cuentas desde las cuales se pueden enviar correos electrónicos comerciales no solicitados (o intentos de phishing).

Pregunta 2: si el rango de IP de los que provienen sus inicios de sesión legítimos es suficientemente conocido, podría ser más fácil bloquear todo excepto esos rangos.

Administro un servidor de correo electrónico para pequeñas empresas, este tipo de sondeo ocurre casi continuamente para nosotros.

¿1 intento cada 1-2 horas? Eso no es una fuerza bruta.

Tal vez sea el iPhone de alguien con una contraseña caducada. Probablemente el tuyo! O, si está reutilizando las direcciones IP de una empresa de alojamiento, el "propietario" anterior aún podría tener algún cliente de correo electrónico en algún lugar, configurado para ir a [ahora] sus IP.

Si tiene las direcciones IP, lo menos que podría hacer es rastrearlas.

La práctica estándar existente de prohibir IP que intentan repetidamente ingresar en un sistema solo funciona contra ataques dirigidos.

Una botnet puede encontrar una gran lista de servidores y distribuir quién está atacando y quiénes atacan entre la botnet. El síntoma será un nivel de fondo de intentos fallidos de inicio de sesión en su sistema, hasta que uno tenga éxito, en ese momento implementarán un kit que se extenderá a la raíz y agregará su sistema a la botnet.

Puedes defenderte de esto de muy pocas maneras.

Las contraseñas seguras son una posible defensa, pero deben emparejarse para mantener su sistema seguro de lo contrario contra ataques no basados en contraseñas. Supongamos que se da cuenta de que hay un ataque de desbordamiento / subdesbordamiento del búfer en su sistema de inicio de sesión; la botnet podría cambiarse para realizar ese ataque y rootear miles de sistemas por minuto, incluido el suyo.

Otra defensa podría ser la oscuridad. Este tipo de ataques van tras la fruta de baja altura. Modifique su sistema de inicio de sesión para (por ejemplo) requerir un ping a un número de puerto en particular antes de que permita el inicio de sesión. Esto es puramente oscuro, pero de repente deja de parecer que hay un lugar para iniciar sesión allí. El costo es que ahora necesita crear un ping específico para iniciar sesión de forma remota. O puede agregar a la lista blanca algunas direcciones IP desde las cuales se le permite iniciar sesión de forma remota.

Un enfoque final, extremadamente difícil sería generar un detector de sistema de piratería de contraseña de botnet distribuido. Al igual que los sistemas realizan un seguimiento de las direcciones IP que los atacan, un sistema distribuido puede realizar un seguimiento de las redes de bots que atacan a cualquiera. Incorpore un sistema de flujo de confianza y podría crear una infraestructura que pueda detectar tales redes de bots para descifrar contraseñas y hacer que todos las bloqueen.

Tal esfuerzo llevaría años de trabajo y probablemente fracasaría. Pero es algo que podrías hacer.

Falló la autenticación SASL PLAIN: y b3db68ad.virtua.com.br no resuelve la dirección 179.219.104.173

Mientras no tenga habilitada la autenticación PLAIN para ningún usuario, debería estar bien. Además, esto: b3db68ad.virtua.com.br no resuelve la dirección 179.219.104.173 le dice que el dominio (s) es un dominio falso, ya que no está resolviendo la IP utilizada. Otro fracaso. Así que puede que ni siquiera venga de ese dominio. Puede pasar mucho tiempo con las reglas de escritura de Postfix para prohibir este tipo de cosas, pero al final la cantidad de tiempo que gasta supera con creces la carga de su sistema.