[rspamd] Tipp: Penetrante Hosts ausbremsen mit fail2ban

Andreas Reschke postfix_ml at rirasoft.de
So Feb 27 19:12:49 CET 2022


Am 27.02.22 um 13:28 schrieb Achim Lammerts via Postfixbuch-users:
> Hallo Liste,
> es gibt ja penetrante Hosts, die trotz permanentem reject immer wieder 
> die Einlieferung von Spam versuchen. Zwar kann man den reject aus dem 
> Milter in der f2b-Konfiguration auch gut in die vorhandenen Regeln für 
> den Postfix integrieren, allerdings werden damit dann nur die rejects 
> abgefangen.
> Manche Spam-Mails schlüpfen ja unterhalb des reject score durch und 
> die Spammer nutzen das dann gnadenlos aus. Abhilfe bringt ein eigenes 
> Jail mit Filter für den rspamd.
>
> -----------------------------------------------
> /etc/fail2ban/filter.d/rspamd-ipblacklist.conf:
>
> [INCLUDES]
> before = common.conf
> datepattern = {^LN-BEG}%%Y-%%m-%%d %%H:%%M:%%S
> [Definition]
> _daemon = rspamd_proxy
> failregex = ^.* <HOST>,.*reject.*
>             ^.* <HOST>,.*rewrite.*
>
> Der Eintrag im Logfile enthält die komplette Auswertung des rspamd, 
> daher kann man die failregex auch gut auf bestimmte Symbole hin 
> verfeinern, bzw. eine ignoreregex definieren.
>
> ----------------------------------------------
> Aktivierung des Jail:
>
> [rspamd-ipblacklist]
> enabled = true
> usedns = no # DNS-Abragen zur IP aus dem Log sind sinnlos
> filter = rspamd-ipblacklist
> logpath = /var/log/rspamd/rspamd.log
> maxretry = 2
> findtime = 10800 # 3 h
> bantime = 21600 # 6 h
>
> service fail2ban restart
>
> Test:
> fail2ban-regex /var/log/rspamd/rspamd.log \
>     /etc/fail2ban/filter.d/rspamd-ipblacklist.conf \
>     --print-all-matched > /var/log/rspamd/f2bmatched.txt
>
> Nutzt man auch das recidive jail in f2b, hält man sich durch die 
> Eskalation der Sperrzeit die Jungs auch mal wochenlang vom Leib, ohne 
> händische Pflege von IP-Blacklists.
>
>
> Guten Start in die Woche!
> LG/A
>
Danke für den Tipp !

Werde ich demnächst mal ausprobieren.

Andreas




Mehr Informationen über die Mailingliste Postfixbuch-users