Teamwork: policyd-weight und fail2ban

Als ich vorgestern an den fail2ban-Einstellungen geschraubt habe, ist mir aufgefallen, dass bereits ein vordefinierter Filter für durch Postfix zurückgewiesene Mails (Code 550) existiert. Policyd-weight gibt diesen Code oft genug zurück. Dieses Tool habe ich ja bereits längere Zeit erfolgreich im Einsatz. Fail2ban hatte ich ursprünglich aus Gründen der SSH-Sicherheit installiert, um herumstreunende Scriptkiddies von Einbruchversuchen abzuhalten.

Also habe ich fail2ban nun so konfiguriert, dass es die IP-Adresse des Spamers für 24 Stunden durch iptables sperrt. Wiederholte Versuche und unnötige Resourcenverschwendungen auf meinem Server werden so wirkungsvoll unterbunden 🙂
So gehts: (Relevanter) Inhalt von /etc/fail2ban/jail.conf:


[postfix]
enabled = true
port = smtp
filter = postfix
logpath = /var/log/mail.log
maxretry = 1
bantime = 86400
# 1 month = 2419200; week = 604800; day = 86400

/etc/fail2ban/filter.d/postfix.conf

failregex = reject: RCPT from (.*)\[<HOST>\]: 550

Selbstverständlich habe ich die Meldung, die ein solches “Opfer” erhält, dementsprechend in /etc/policyd-weight.conf angepasst. Das sieht dann im Ergebnis so aus:

Jan 4 01:08:02 zeus postfix/smtpd[19151]: NOQUEUE: reject: RCPT from cpe-75-84-20-3.socal.res.rr.com[75.84.20.3]: 550 5.7.1 js@fpost.de: Recipient address rejected: Your MTA is listed in too many DNSBLs. As a result, your IP-address will be banned from our systems during the next 24 hours; check http://rbls.org/?q=75.84.20.3; from=adre1gkpb@student.monash.edu.au to=js@fpost.de proto=SMTP helo=cpe-75-84-20-3.socal.res.rr.com

Nutzen? Definitiv vorhanden, denn die durchschnittlich zurückgewiesenen Mails haben sich um ca. 1 Mail/Minute verringert. Den Inhalt von iptables -L fail2ban-postfix poste ich hier lieber nicht, das ist etwas viel…

Ein starkes Team!

3 Replies to “Teamwork: policyd-weight und fail2ban”

  1. der Wahnsinn …
    … schon seit fast zwei jahren bekannt, und ich seh’s erst letzte Woche …
    … gleich implementiert und rennt wie Teufel ..
    Genial … kaum noch schrott inne Post …

    Aber eine Frage noch: Wie zum Henker bekomme ich diese geniale Malgraph-Auswertung, die Du fährst? Interessant zu sehen, wieviel Spam/Virus/Rejects dabei sind …

Leave a Reply

Your email address will not be published. Required fields are marked *