[Postfixbuch-users] Fail2ban als Spoiler für Postfix

[Uwe Driessen]

Hallo Liste 

Nachdem ich mich über so einige Spam Server geärgert habe die bis zu 100 Connection
nacheinander aufgebaut haben und mir das Mail.log zumüllten habe ich einen Spoiler
montiert. Ich hatte da heute wieder 2 die damit scheinbar versuchen gültige Mailadressen
herauszubekommen(habe mal so ein tool gesehen das so eine Art von Wörterbuchattacken
durchführt) 

Mit Fail2ban kann man in den Logfiles nach bestimmten Vorkommnissen suchen lassen und dann
die verursachenden IP per IPTables in die Wüste schicken.

In der jail.lokal habe ich einen neuen Eintrag erzeugt 

[smtpd]
enabled  = true
port     = 25
filter   = smtpd
logpath  = /var/log/mail.log
maxretry = 2  
bantime  = 1200

dazu passend dann eine /etc/fail2ban/filter.d/smtpd.conf mit folgendem Inhalt 
 
[Definition]
failregex = warning: Connection rate limit exceeded: (.*)\[<HOST>\] for service smtp$
ignoreregex =


in der main.cf dazu passend die Einträge

smtpd_client_connection_rate_limit = 2      
#bei stark frequentierten Servern mehr eintragen!! 
anvil_rate_time_unit = 21s  

bei meinem Server sind das also innerhalb von 21 sec vom gleichen einliefernden Server max
2 Verbindungen. Bei 2 Fehlermeldungen in der Art von 

May 24 01:53:44 fblan postfix/smtpd[1736]: warning: Connection rate limit exceeded: XX
from unknown[200.213.49.172] for service smtp

Bekommt der einliefernde eine Iptables sperre von 20 min (bin sogar versucht eine Woche
einzutragen aber wenn dann erst nach nem Testlauf von 4 Wochen).               


und wie immer gilt VOR DER VERWENDUNG auf dem eigenen Server nach der Verwendbarkeit für
die eigenen Zwecke PRÜFEN. 

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397