Immer wieder Fail2ban :?  [SOLVED]

For topics beyond KeyHelp. / Für Themen jenseits von KeyHelp.
Post Reply
User avatar
Alexander
Keyweb AG
Posts: 4548
Joined: Wed 20. Jan 2016, 02:23

Re: Immer wieder Fail2ban :?

Post by Alexander »

Wie sieht deine /etc/fail2ban/filter.d/postfix.conf aus?
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Top
User avatar
Ralph
Posts: 1340
Joined: Mon 30. Mar 2020, 16:14

Re: Immer wieder Fail2ban :?

Post by Ralph »

technotravel wrote: Mon 24. Jun 2024, 19:36 Das Jail ist bei mir aktiviert, trotzdem werde ich geflutet von

Code: Select all

Warning: unknown 194.169.175.66]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=adm@meinevserver.de]
... und dergleichen ... etwa im Sekundentakt ...
Läuft Fail2ban denn auch und wurden bereits fail logins banned?

Code: Select all

systemctl status fail2ban
grep kh-postfix-sasl /var/log/fail2ban.log
Bei F2B gibt es momentan einiges an Bugs, es könnte auch sein dass sich dieser Postfix Multi Filter (mode wählbar) irgendwie umgehen lässt.

Ich verwende einen extra postfix-sasl Filter, und habe den F2B postfix filter nur als default eingebunden, kein modus festgelegt und erlaube daher beim F2B Standard Filter z.b. 3 fail logs wobei ich derzeit beim extra postfix-sasl maxretry = 1 verwende.
Das funktioniert auch soweit ganz gut ...

Code: Select all

nano /etc/fail2ban/filter.d/postfix-sasl.conf

# Fail2Ban filter for postfix
#
[INCLUDES]
before = common.conf

[Definition]
_daemon = postfix(-\w+)?/(?:submission/|smtps/)?smtp[ds]

failregex = ^(.*)\[<HOST>\]: SASL (?:LOGIN|PLAIN) authentication failed:(.*)$

ignoreregex = authentication failed: Connection lost to authentication server$

[Init]
journalmatch = _SYSTEMD_UNIT=postfix@-.service
z.b.

Code: Select all

nano /etc/fail2ban/jail.d/postfix-sasl.local

[postfix-sasl]

enabled  = true
port     = smtp,ssmtp,smtps,submission,pop3,pop3s,imap,imaps
filter   = postfix-sasl
backend  = systemd
maxretry = 1
findtime = 1800
bantime  = 1800
F2B neu starten

Code: Select all

# Regex Test:
fail2ban-regex systemd-journal /etc/fail2ban/filter.d/postfix-sasl.conf

# F2B log file check
grep postfix-sasl /var/log/fail2ban.log
Top
User avatar
technotravel
KeyHelp Translator
Posts: 433
Joined: Mon 19. Oct 2020, 11:11

Re: Immer wieder Fail2ban :?

Post by technotravel »

Alexander wrote: Tue 25. Jun 2024, 09:31 Wie sieht deine /etc/fail2ban/filter.d/postfix.conf aus?
Danke Alex - genau das war mein Fehler :o

Ich hatte damals den korrigierten Postfix-Filter unter einem anderen Namen gespeichert, dann aber jetzt vergessen, diesen eigenen Filter in das sasl-Jail einzutragen. Da stand dann halt der (offenbar immer noch) fehlerhafte originale Filter ...

Mit dem korrekten Filter funktioniert es einwandfrei. Frage mich, wann der orginale Postfix-Filter mal upgedated/korrigiert wird ...

Danke nochmal :)
Chers francophones, je traduis KeyHelp en français. S'il y a des erreurs ou des propositions d'amélioration, n'hésitez pas à me contacter !
(Ich übersetze KeyHelp ins Französische)
Top
Post Reply

Return to “Off Topic”