Ubuntu 系統下的 fail2ban postfix filter rule

  只要有安裝郵件服務器，就一定會有人想要借用，所以安裝一套稍微可避免借用的軟體是一定要的。

Linux 的 fail2ban 應該是大家很常用的一套,裡面己經內建很多 filter。

但有時還是會有不符合 filter 而無法防止有人一直嘗試，所以就要自己調整一下了。

以下是 postfix filter :

failregex = \[<HOST>\]: SASL (PLAIN|LOGIN) authentication failed

            lost connection after (AUTH|UNKNOWN|EHLO) from (.*)\[<HOST>\]

            reject: RCPT from (.*)\[<HOST>\]: 550 5.1.1

            reject: RCPT from (.*)\[<HOST>\]: 450 4.7.1

            reject: RCPT from (.*)\[<HOST>\]: 554 5.7.1

            reject: RCPT from (.*)\[<HOST>\]: 504 5.5.2 (.*) Helo command rejected: need fully-qualified hostname

            reject: RCPT from (.*)\[<HOST>\]:\d+: 550

            warning: Illegal address syntax from (.*)\[<HOST>\] in RCPT command

            HANGUP after (.*) from \[<HOST>\]:\d+ in tests after SMTP handshake

不一定符合大家用,但可以參考看看。

修改後利用:

fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix.conf

測試設定的 filter 是否生效。