Ylmf-pc достаточно известный "нейм", с которого идёт постояннный подбор (Brute Force) авторизации на e-mail серверах. IP разные, поэтому блокировать по IP бесполезно. В логе:
# less /var/log/exim/mainlog | grep ylmf-pc видны следующие записи:
2015-04-01 04:31:55 auth_login authenticator failed for (ylmf-pc) [5.39.223.88] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 04:32:06 auth_login authenticator failed for (ylmf-pc) [5.39.223.88] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 04:32:17 auth_login authenticator failed for (ylmf-pc) [5.39.223.88] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 04:32:28 auth_login authenticator failed for (ylmf-pc) [5.39.223.88] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 23:30:15 auth_login authenticator failed for (ylmf-pc) [37.203.214.115] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 23:30:34 auth_login authenticator failed for (ylmf-pc) [37.203.214.115] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 23:30:50 auth_login authenticator failed for (ylmf-pc) [37.203.214.115] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 23:31:03 auth_login authenticator failed for (ylmf-pc) [37.203.214.115] I=[IP-сервера]:25: 535 Incorrect authentication data
Для удобства выгрузим в файл ошибки с auth_login authenticator failed for
# less /var/log/exim/mainlog | grep "auth_login authenticator failed for" > exim_err.txt
Открываем конфигурационный файл Exim: # mcedit /usr/local/etc/exim/configure в начале файла, где задаются ACL
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
acl_smtp_helo = acl_smtp_helo # необходимо добавить
Далее переходим ниже, где в конфиге идет секция ACL CONFIGURATION Specifies access control lists for incoming SMTP mail, т.е. описание самих правил и добавляем:
acl_smtp_helo:
drop condition = ${if eq {$sender_helo_name}{ylmf-pc} {yes}{no}}
log_message = HELO/EHLO - ylmf-pc blocked
accept
Сохраняем и перезапускаем Exim: # /usr/local/etc/rc.d/exim restart
Т.о. мы добавили ACL проверки HELO/EHLO и при упоминании ylmf-pc прерываем сессию. Смотрим, что в логе:
2015-04-02 11:23:12 H=(ylmf-pc) [5.39.223.88] I=[IP сервера]:25 rejected EHLO or HELO ylmf-pc: HELO/EHLO - ylmf-pc blocked
2015-04-02 11:23:13 H=(ylmf-pc) [5.39.223.88] I=[IP-сервера]:25 rejected EHLO or HELO ylmf-pc: HELO/EHLO - ylmf-pc blocked
2015-04-02 11:23:13 H=(ylmf-pc) [5.39.223.88] I=[IP-сервера]:25 rejected EHLO or HELO ylmf-pc: HELO/EHLO - ylmf-pc blocked
2015-04-02 11:23:13 H=(ylmf-pc) [5.39.223.88] I=[IP-сервера]:25 rejected EHLO or HELO ylmf-pc: HELO/EHLO - ylmf-pc blocked
Задача по устронению выполнена!