SASL LOGIN authentication failed (fail2ban)

 メールサーバにログインしようとする馬鹿者がいます。mail.log に頻繁に、

SASL LOGIN authentication failed: UGFzc3dvcmQ6

が出ます。まあ、failed しているのでまだいいのですが、それでも対策はしておいたほうが安全でしょう。

 fail2ban というものがあるので、使ってみます。

インストール

$sudo apt-get install -y fail2ban

設定

$ cd /etc/faul2ban/jail.d
$ sudo vi postfix-sasl.conf

[postfix-sasl]
enabled = true
logpath = %(postfix_log)s
maxretry = 5
findtime = 86400
bantime = 86400
backend = %(postfix_backend)s

一日の間に 5 回失敗したら、一日間 ban する設定です。

確認

 ちゃんと監視できているのか確認してみます。

$ sudo fail2ban-client status
Status
|- Number of jail: 2
`- Jail list: postfix-sasl, sshd

 postfix-sasl と sshd を監視しています。

 数日置いてban数を確認してみました。

$ sudo fail2ban-client status postfix-sasl
Status for the jail: postfix-sasl |- Filter
| |- Currently failed: 0
| |- Total failed: 103
| `- File list: /var/log/mail.log
`- Actions
|- Currently banned: 1
|- Total banned: 13
`- Banned IP list: 103.15.xxx.yyy

 それほど多くはないようです。fail2ban だけでいいようです。

2012.07.05 追記
 fail2ban のデフォルトのブロックは REJECT です。相手に通知してしまいます。こんな相手には手間を書ける必要はないので、以下の記事で DROP に設定を変えました。

サーバ設定

Posted by sirius