<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"
"http://www.w3.org/TR/REC-html40/loose.dtd">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
<title></title>
</head>
<body style="font-family:Arial;font-size:14px">
<p>Quoting Benny Pedersen <<a href="mailto:me@junc.eu">me@junc.eu</a>>:</p>
<blockquote style="border-left:2px solid blue;margin-left:2px;padding-left:12px;" type="cite">
<p>On 2021-07-15 16:49, Alex wrote:<br></p>
<blockquote style="border-left:2px solid blue;margin-left:2px;padding-left:12px;" type="cite">
<p>What about something like what we used to do with pop-b4-smtp to at<br>
least restrict by IP address?</p>
</blockquote>
no, pop was not handle million of users share one single nat ip, weekforce cant handle that either, so allow_net cant do any better there</blockquote>
<p>Well no, but I thought the problem to be solved was 'prevent compromised credentials from abusing SMTP'.  Certs do that, but with high overhead.<br>
<br>
OTOH, going off Alex's suggestion, you could tie the IMAP or POP Auth into an iptables rule that allows that IP to use SMTP for x minutes.<br>
Basically, the opposite of fail2ban - 'auth2allow'  :)<br>
You could probably use fail2ban, just adjust the log regex's and the action appled.<br>
<br>
The odds of an abuser coming from the same IP are pretty slim, and if the system itself is compromised, they're going to have the cert anyways.<br>
<br>
In my experience, most clients do SMTP after the POP or IMAP check..  I'd expect issues to be minimal.<br>
<br>
Rick<br>
<br></p>
</body>
</html>