fail2ban – regułki dla dovecot’a

Domyślna konfiguracja fail2ban’a (na Debianie) nie zawiera reguł pozwalających na blokowanie prób włamań na skrzynki POP/IMAP dla dovecota (no chyba że korzystamy z saslauthd). Można szybko utworzyć własny zestaw filtrów co przedstawię poniżej.

Tworzymy plik: /etc/fail2ban/filter.d/dovecot.conf

[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*
ignoreregex =

Później dopisujemy na końcu pliku: /etc/fail2ban/jail.conf

[dovecot]
enabled  = true
filter   = dovecot
port     = pop3,pop3s,imap,imaps
logpath  = /var/log/mail.log
maxretry = 20
# te dwa poniżej wedle uznania - ja mam dobrze ustawione default'y
#findtime = 1200
#bantime  = 1200

Zostało zrestartować fail2ban’a:

invoke-rc.d fail2ban restart

Tip na bazie dokumentacji: http://wiki.dovecot.org/HowTo/Fail2Ban