Dovecot mit Fail2Ban sichern

By | 5. März 2009


In letzter Zeit bekomme ich auf den Server verschiedene POP3/IMAP Angriffe. Es sind immer wieder die gleichen IP-Adressen von denen es ausgeht. Jetzt habe ich auch Dovecot in Fail2Ban aufgenommen und erfolgreich die Angriffe geblockt.

Hierzu müssen wir erstmal einen Filter mit der Regex anlegen.

1
# vi /etc/fail2ban/filter.d/dovecot.conf

Inhalt des Filters:

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named „host“. The tag „“ can
# be used for standard IP/hostname matching.
# Values: TEXT
#
failregex = (?:imap|pop3)-login: Disconnected: user=<.*>, method=(?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5), rip=, lip

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Jetzt muss der Filter nur noch in der jail.conf aktiviert werden.

1
# vi /etc/fail2ban/jail.local

Hierzu einfach folgenden Part an die Datei unten anhängen:

1
2
3
4
5
[dovecot]
enabled  = true
port     = imap,imaps,pop3,pop3s
filter   = dovecot
logpath  = /var/log/mail.log

Jetzt noch ein reload von fail2ban um die Config neu zu laden:

1
<code># fail2ban-client reload</code>

Um zu testen ob der Filter passt und auch IP-Adressen sperren würde:

1
# fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/dovecot.conf

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.