+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Plauderecke (/forum-49.html)
+---- Thread: Fail2Ban und dovecot (/thread-9669.html)
Pages: 1 2
RE: Fail2Ban und dovecot - Darkside2009 - 02-20-2010 07:06 PM
(02-20-2010 03:40 AM)TheCry Wrote: Schau mal ob Dir hier was von hilft:
http://www.fail2ban.org/wiki/index.php/Talk:Dovecot
http://www.fail2ban.org/wiki/index.php/Dovecot
Thx,
hatte ich zwar auch schon alles bei meinem Freund " Schnoogle " gefunden
es hat mich da aber jetzt mal dazu gebracht, in fail2ban sasl einzuschalten.
fail2ban konnte mit den zeilen von dovecot nichts anfangen, da ja kein host mit in den zeilen waren ( siehe erster post von mir )
habe dann einige zeilen wo die ip mit zu sehen war noch mal in die mail.log kopiert. datum und zeit angepasst und siehe da, fail2ban macht das, wofür es da ist ......
jetzt fehlt mir nur noch, das ich auch per mail benachrichtigt werde. in den confs ist alles dafür eingestellt dest=meine@home.adresse .....
hab es mit der einstellung mail und sendmail probiert. aber versendet wird da nichts.
falls mir da noch jemend helfen könnte ? ich könnte ihm dann auch mal den root zugriff auf meinem server geben
RE: Fail2Ban und dovecot - Darkside2009 - 02-20-2010 08:19 PM
Das mit dem Mail versenden hat sich nun auch erledigt ....... man sollte in der jail.conf folgenden eintrag ändern : action = %(action_)s -------> action = %(action_mwl)s
dann klappt es auch mit der nachbarin
RE: Fail2Ban und dovecot - TheCry - 02-25-2010 07:58 PM
Ich habe heute mal die Zeit gefunden Dovecot in Fail2Ban einzupflegen.
Sieht soweit auch gut aus...
Nun mache ich mir aber ein bisschen Gedanken über diesen Eintrag
Code:
failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Disconnected \(auth failed).*rip=(?P<host>\S*),.*Wenn man sich vom Webmailer falsch einlggt, würde ich mir 127.0.0.1 auf die Sperrung legen, oder sehe ich das falsch?
Code:
Feb 25 10:16:51 SRV dovecot: imap-login: Disconnected (auth failed, 1 attempts): user=<email@meine-domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, securedOder wird das schon durch
Code:
ignoreip = 127.0.0.1RE: Fail2Ban und dovecot - Darkside2009 - 02-25-2010 08:01 PM
(02-25-2010 07:58 PM)TheCry Wrote: Ich habe heute mal die Zeit gefunden Dovecot in Fail2Ban einzupflegen.
Sieht soweit auch gut aus...
Nun mache ich mir aber ein bisschen Gedanken über diesen Eintrag
Code:
failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Disconnected \(auth failed).*rip=(?P<host>\S*),.*
Wenn man sich vom Webmailer falsch einlggt, würde ich mir 127.0.0.1 auf die Sperrung legen, oder sehe ich das falsch?
Im Prinzip müsste in den RegExp eine Negation rein, die nicht nach 127.0.0.1 sucht.Code:
Feb 25 10:16:51 SRV dovecot: imap-login: Disconnected (auth failed, 1 attempts): user=<email@meine-domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Oder wird das schon durch
erledigt?Code:
ignoreip = 127.0.0.1
in der zeile ignoreip trägst du alle ip´s ein die nicht gebannt werden sollen ...... 127.0.0.1 192.168.1.1 <----- beispiel ..... zwischen jeder ip ein space ( leerzeichen )
meine regex für dovecot sieht so aus :
Quote:failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Disconnected \(auth failed).*rip=(?P<host>\S*),.*
(?:imap|pop3)-login: Disconnected: user=<.*>, method=(?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5), rip=(?P<host>\S*), lip
(?:imap|pop3)-login: Aborted login.*user=<.*>, .*rip=(?P<host>\S*),.*
RE: Fail2Ban und dovecot - Darkside2009 - 03-29-2010 07:01 PM
Sorry, das ich hier frage, hat eigentlich auch nichts mit ISPCP zu tun, aber ich bräuchte mal hilfe von einem der sich gut mit Fail2Ban auskennt.
Code:
Mar-29-10 10:55:25 52881-09222 [Blackish] 117.242.86.5 <hanstommy@cm1.hinet.net> to: hikkitaiwan@yahoo.com [scoring:16] -- blackish address '@cm1.hinet.net' -- [W T];
Mar-29-10 10:55:25 52881-09222 [BlackHELO] 117.242.86.5 <hanstommy@cm1.hinet.net> to: hikkitaiwan@yahoo.com [scoring] -- blacklisted HELO '88.198.7.102' -- [W T];
Mar-29-10 10:55:35 52881-09222 [DNSBL][alltestmode] 117.242.86.5 <hanstommy@cm1.hinet.net> to: hikkitaiwan@yahoo.com [spam passed] -- -- [W T] -> spam/W_T__2854.eml;
Mar-29-10 10:55:38 52830-09162 [Blackish] 219.64.76.95 <hj.kuai@msa.hinet.net> to: 4960@ms48.hinet.net [scoring:16] -- blackish address '@msa.hinet.net' -- [j B y B C C Q U C110 W B U C Mon 05 Apr 2010 13 33];zu diesen Zeilen oben bräuchte ich eine funktionierende Regex zeile....
habe selber schon einiges versucht aber Fail2Ban will mit meinen Regex zeilen nichts anfangen.Die Zeilen stammen aus dem Log von ASSP
danke schon mal für eure hilfe