Fail2ban et SMTPD/AUTH

fritz2cat · October 24, 2022, 1:22pm

Mon serveur YunoHost

Matériel: Dédié Kimsufi chez OVH , debian 11.5
Version de YunoHost: yunohost:
repo: stable
version: 11.0.10.1
yunohost-admin:
repo: stable
version: 11.0.11
moulinette:
repo: stable
version: 11.0.9
ssowat:
repo: stable
version: 11.0.9

J’ai accès à mon serveur : En SSH | Par la webadmin (à l’aise avec ssh/bash)

Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : Mineures, sans intérêt ici

Description du problème

Voilà, il y a des bourrins qui se connectent depuis l’afrique sur mon serveur toutes les 3 minutes pour faire du bruteforce sur mon smtp.

Avez-vous un conseil pour modifier fail2ban et les bannir d’abord gentiment, puis violemment s’ils récidivent ? Et que les modifs faites dans fail2ban survivent proprement lors des futures upgrades de Yunohost ?

Voici pour une adresse IP par exemple.

Oct 23 00:19:56 k4 postfix/smtpd[387716]: connect from unknown[41.216.183.146]
Oct 23 00:19:56 k4 postfix/smtpd[387716]: disconnect from unknown[41.216.183.146] ehlo=1 auth=0/1 quit=1 commands=2/3
Oct 23 00:23:16 k4 postfix/anvil[387718]: statistics: max connection rate 1/60s for (smtp:41.216.183.146) at Oct 23 00:19:56
Oct 23 00:23:16 k4 postfix/anvil[387718]: statistics: max connection count 1 for (smtp:41.216.183.146) at Oct 23 00:19:56
Oct 23 00:23:16 k4 postfix/anvil[387718]: statistics: max cache size 1 at Oct 23 00:19:56
Oct 23 00:24:20 k4 postfix/smtpd[387852]: connect from unknown[41.216.183.146]
Oct 23 00:24:21 k4 postfix/smtpd[387852]: disconnect from unknown[41.216.183.146] ehlo=1 auth=0/1 quit=1 commands=2/3
Oct 23 00:27:41 k4 postfix/anvil[387857]: statistics: max connection rate 1/60s for (smtp:41.216.183.146) at Oct 23 00:24:20
Oct 23 00:27:41 k4 postfix/anvil[387857]: statistics: max connection count 1 for (smtp:41.216.183.146) at Oct 23 00:24:20
Oct 23 00:27:41 k4 postfix/anvil[387857]: statistics: max cache size 1 at Oct 23 00:24:20

~# grep -c 41.216.183.146 /var/log/mail.log
1888

Merci à vous, belle journée

hordearii · October 25, 2022, 10:56am

Ce tuto pourrait peut-être t’aider :

fritz2cat · October 26, 2022, 1:42pm

Bonjour @hordearii, ce ttuto n’est pas vraiment ce que je cherche.

Il est destiné à ce que nginx rejette certaines connexions sur base du country code de l’adresse IP.

Ce que je cherche à faire est de modifier des filtres et/ou prisons pour fail2ban, qui n’a pas l’air de détecter les attaques sur SMTPD.
Et surtout que mes modifications survivent les futurs updates de YH sans les mettre en péril non plus.

metyun · October 27, 2022, 8:00pm

Bonjour,

tu es sur la bonne piste, il faudrait ajouter un filtre F2B et tu les actives dans un fichier /etc/fail2ban/jail.d/jail-perso.conf.
Fais une recherche sur les filtres postfix-auth ou postfix-failedauth, soit ils sont déjà présents dans F2B et il n’y a juste qu’à les activer, soit ils sont indisponibles dans /etc/fail2ban/filter.d et tu les ajoutes dedans.

system · November 26, 2022, 8:00pm

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.