2017年3月31日 星期五

Ubuntu 系統下的 fail2ban postfix filter rule

  只要有安裝郵件服務器,就一定會有人想要借用,所以安裝一套稍微可避免借用的軟體是一定要的。

Linux 的 fail2ban 應該是大家很常用的一套,裡面己經內建很多 filter。
但有時還是會有不符合 filter 而無法防止有人一直嘗試,所以就要自己調整一下了。

以下是 postfix filter :

failregex = \[<HOST>\]: SASL (PLAIN|LOGIN) authentication failed
            lost connection after (AUTH|UNKNOWN|EHLO) from (.*)\[<HOST>\]
            reject: RCPT from (.*)\[<HOST>\]: 550 5.1.1
            reject: RCPT from (.*)\[<HOST>\]: 450 4.7.1
            reject: RCPT from (.*)\[<HOST>\]: 554 5.7.1
            reject: RCPT from (.*)\[<HOST>\]: 504 5.5.2 (.*) Helo command rejected: need fully-qualified hostname
            reject: RCPT from (.*)\[<HOST>\]:\d+: 550
            warning: Illegal address syntax from (.*)\[<HOST>\] in RCPT command
            HANGUP after (.*) from \[<HOST>\]:\d+ in tests after SMTP handshake

不一定符合大家用,但可以參考看看。

修改後利用:

fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix.conf

測試設定的 filter 是否生效。

沒有留言:

張貼留言

ManageEngine EventLog Analyzer版本更新步驟

更新檔下載位址: Upgrade to Latest Version of EventLog Analyzer Build (manageengine.com) 先將下載的更新檔上傳到主機裡,再進行下列動作。 切換到 ManageEngine EventLog Analyzer ...