Qualcuno sta cercando di forzare (?) il mio server di posta privato ... molto ... lentamente ... e con il cambiamento degli IP

What's the point of this kind of "attack"? The rate is much too slow to do any efficient brute-forcing, and I really doubt that someone would specifically target my tiny personal server.

La velocità è lenta o la quantità totale di dati inviati è piccola? Potresti vedere le connessioni molto raramente, ma come fai a sapere che i robot che fanno la forza bruta non stanno saturando costantemente i loro uplink, e il tuo sito è solo uno dei tanti che vengono attaccati? Non vi è alcun vantaggio che un utente malintenzionato trascorra un breve periodo andando dietro a un sito alla volta (e innescando fail2ban), rispetto all'attacco di un numero enorme di server contemporaneamente, in cui ogni server vede solo connessioni poco frequenti. Entrambi possono avere lo stesso tasso di tentativi di autenticazione in uscita al secondo.

Is there anything I can do against it except banning that provider's complete IP range (or ignoring the messages, since my passwords are strong)?

Improbabile. È probabile che provengano da una botnet o da un gruppo di VPS a basso costo. Non è possibile determinare quali altri intervalli IP possono essere utilizzati solo vedendone alcuni. Se non si trovano nella stessa sottorete, non possono essere previsti. Puoi tranquillamente ignorare queste connessioni. Non è altro che il rumore di fondo di Internet.

Domanda 1 - A meno che non si tratti di una configurazione errata (come menzionato nei commenti), nella mia esperienza sembra che si tratti di attacchi automatici alla ricerca di account dai quali possono essere inviate e-mail commerciali indesiderate (o tentativi di phishing).

Domanda 2 - Se l'intervallo di IP da cui provengono i tuoi accessi legittimi è sufficientemente conoscibile e abbastanza piccolo, potrebbe essere più semplice bloccare tutto tranne questi intervalli.

Gestisco un server di posta elettronica di piccole imprese, questo tipo di verifica avviene quasi continuamente per noi.

1 tentativo ogni 1-2 ore? Non è una forza bruta.

Forse l'iPhone di qualcuno con una password scaduta. Probabilmente tuo! Oppure, se stai riutilizzando gli indirizzi IP di una società di hosting, il precedente "proprietario" potrebbe ancora avere qualche client di posta elettronica da qualche parte, configurato per andare a [ora] i tuoi IP.

Se hai gli indirizzi IP, il minimo che puoi fare è tracciarli.

La pratica esistente standardizzata di vietare gli IP che tentano ripetutamente di penetrare in un sistema funziona solo contro gli attacchi mirati.

Una botnet può trovare un enorme elenco di server e distribuire sia chi sta effettuando l'attacco sia chi attacca tra le botnet. Il sintomo sarà un livello di fondo di tentativi di accesso falliti contro il tuo sistema, fino a quando uno avrà successo, a quel punto verrà distribuito un kit che si intensificherà a root e aggiungerà il tuo sistema alla botnet.

Puoi difenderti da questo in pochissimi modi.

Le password complesse sono una possibile difesa, ma devono essere associate al mantenimento del sistema in caso di attacchi non basati su password. Supponiamo che esca un attacco di overflow / underflow del buffer sul tuo sistema di login; la botnet potrebbe essere cambiata per rendere quell'attacco e root 1000s di sistemi al minuto, incluso il tuo.

Un'altra difesa potrebbe essere l'oscurità. Questi tipi di attacchi vanno dopo la frutta a bassa attaccatura. Modifica il tuo sistema di accesso per (dire) richiede un ping ad un particolare numero di porta prima che faccia il login. Questo è puramente oscuro, ma all'improvviso smette di sembrare come se ci fosse un posto dove effettuare il login. Il costo è che ora è necessario creare un ping specifico per accedere da remoto. Oppure puoi autorizzare alcuni indirizzi IP dai quali ti è permesso accedere da remoto.

Un ultimo, estremamente difficile approccio sarebbe quello di generare un rilevatore di sistema di hacking password botnet distribuito. Proprio come i sistemi tengono traccia degli indirizzi IP che li attaccano, un sistema distribuito potrebbe tenere traccia delle botnet che attaccano chiunque. Installa un flusso di sistema di fiducia e potresti creare un'infrastruttura in grado di rilevare tali botnet per la violazione delle password e farli bloccare da tutti.

Un tale sforzo richiederebbe anni di lavoro e probabilmente fallirebbe. Ma è qualcosa che potresti fare.

Autenticazione PLAIN SASL non riuscita: e b3db68ad.virtua.com.br non risolve l'indirizzo 179.219.104.173

Se non hai l'autenticazione PLAIN abilitata per nessun utente, dovresti essere ok. Inoltre, questo: b3db68ad.virtua.com.br non risolve l'indirizzo 179.219.104.173 ti dice che il dominio (i) è un dominio fasullo, in quanto non si risolve con l'IP utilizzato. Un altro errore. Quindi potrebbe anche non provenire da quel dominio. Puoi passare molto tempo con le regole di scrittura Postfix per vietare questo tipo di cose, ma alla fine il tempo che impieghi supera di gran lunga il carico sul tuo sistema.