SASL LOGIN authentication failed (fail2ban)
メールサーバにログインしようとする馬鹿者がいます。mail.log に頻繁に、
SASL LOGIN authentication failed: UGFzc3dvcmQ6
が出ます。まあ、failed しているのでまだいいのですが、それでも対策はしておいたほうが安全でしょう。
fail2ban というものがあるので、使ってみます。
インストール
$sudo apt-get install -y fail2ban
設定
$ cd /etc/faul2ban/jail.d
$ sudo vi postfix-sasl.conf
[postfix-sasl]
enabled = true
logpath = %(postfix_log)s
maxretry = 5
findtime = 86400
bantime = 86400
backend = %(postfix_backend)s
一日の間に 5 回失敗したら、一日間 ban する設定です。
確認
ちゃんと監視できているのか確認してみます。
$ sudo fail2ban-client status
Status
|- Number of jail: 2
`- Jail list: postfix-sasl, sshd
postfix-sasl と sshd を監視しています。
数日置いてban数を確認してみました。
$ sudo fail2ban-client status postfix-sasl
Status for the jail: postfix-sasl
|- Filter
| |- Currently failed: 0
| |- Total failed: 103
| `- File list: /var/log/mail.log
`- Actions
|- Currently banned: 1
|- Total banned: 13
`- Banned IP list: 103.15.xxx.yyy
それほど多くはないようです。fail2ban だけでいいようです。
2012.07.05 追記
fail2ban のデフォルトのブロックは REJECT です。相手に通知してしまいます。こんな相手には手間を書ける必要はないので、以下の記事で DROP に設定を変えました。