ホーム > フラッグblog > fail2ban でpostfixのログから不正アクセスを弾く
Date 2015/12/22   

fail2ban でpostfixのログから不正アクセスを弾く

ふとサーバーのmaillogを除くと大量のエラが−

 

Dec 22 15:34:55 flagsystem postfix/smtpd[14328]: connect from unknown[120.27.130.122]
Dec 22 15:35:01 flagsystem postfix/smtpd[14328]: warning: unknown[120.27.130.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Dec 22 15:35:01 flagsystem postfix/smtpd[14328]: lost connection after AUTH from unknown[120.27.130.122]
Dec 22 15:35:01 flagsystem postfix/smtpd[14328]: disconnect from unknown[120.27.130.122]

 

なんじゃこりゃー

ということで調べてみると、どうやら中国からのアクセスのよう。

fail2banでSSH等は監視してましたが、maillogまでは監視してなかったようなので対策です。

 

1,/etc/fail2ban/filter.d/postfix-sasl.confの編集

初期設定のpostfix-sasl.confを編集します。

#failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*

↑もともとの設定をコメント

failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed: \w

↑新規の設定を追加

ignoreregex =

↑入れないと再起動でエラーが出る

 

2,/etc/fail2ban/jail.confの編集

 

[sasl-iptables]
enabled = true
filter = postfix-sasl
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps", protocol=tcp]
         sendmail-whois[name=postfix-sasl, dest=root, sender=fail2ban]
logpath = /var/log/maillog

↑追加

 

これで再起動して、ログを確認していたら上記のエラーを無事弾いていました。

めでたしめでたし

 

 

インフラのことならこの本がおすすめです。

 

この記事をシェアする

TOP

Flagsystem