Skip to main content

Спам-боты, postfix і fail2ban



На маім сэрвэры Postfix працуе ў якасці сервера выходнай пошты, то ёсць толькі адпраўляе пошту з сайтаў. Натуральна, адкрыты 25-ый порт. Але большую частку часу туды дзяўбці носам ўсякія боты, якія спрабуюць скарыстацца серверам, як адкрытым рэле. :) Натуральна, у іх нічога не атрымліваецца, бо настроены правілы. Але логі засмечваюць.



Некаторыя боты падключыўшыся, адразу абрываюць злучэнне, толкам не абмяняўшыся з серверам інфармацыяй. У логі трапляе нешта накшталт гэтага:

  Apr 8 21:15:20 omega postfix / smtpd [3075]: connect from unknown [189.158.233.139]
 Apr 8 21:15:21 omega postfix / smtpd [3075]: lost connection after UNKNOWN from unknown [189.158.233.139]
 Apr 8 21:15:21 omega postfix / smtpd [3075]: disconnect from unknown [189.158.233.139]
 Apr 8 21:16:00 omega postfix / smtpd [3075]: warning: hostname dsl-189-158-233-139-dyn.prod-infinitum.com.mx does not resolve to address 189.158.233.139: Name or service not known

Паколькі ў мяне таксама ўстаноўлены fail2ban для барацьбы з брутфорсу у блогах , то і рашэнне знайшлося даволі хутка. Гэтым і хачу падзяліцца з вамі. :)

Перш за ўсё адкрыйце канфігурацыйны файл фільтра для Postfix. Ён знаходзіцца ў каталогу /etc/fail2ban/filter.d/postfix.conf. Знайдзіце параметр failregex і з новага радка дапішыце наступнае рэгулярны выраз:


  ^% (__ prefix_line) sdisconnect from \ S + \ [   \] 

Захавайце яго. Цяпер праверце рэгуляркі камандай:

  fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix.conf 

У мяне ў выніку выдала 100500 ip-адрасоў, у тым ліку і па стандартным правілу. :)

Апошні крок: адкрыйце галоўны файл налад - /etc/fail2ban/jail.conf. Знайдзіце дырэктыву [postfix] і ўключыце фільтр.


  enabled = true 

Перазапусціце Fail2ban. На гэтым усё.



Як вы ацэніце артыкул?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (1 адзнак, сярэдняе: 5,00 з 5)
Загрузка ...

Дадаць каментар

Ваш e-mail не будзе апублікаваны.