André,
* André Loos via postfix-users andre.loos@cogaa.de:
ich habe auf meinem Mailserver (Postfix) das bekannte fail2ban installiert. Gibt es eine Möglichkeit die fail2ban Benachrichtigung so zu gestalten, dass mir ersichtlich ist, mit welchem Konto das Login (pop3/imap/sasl) gescheitert ist?
mir ist nicht bekannt, dass f2b das out of the box kann und auch nicht, dass man es einfach dahingehend erweitern kann.
Christian Rößner und ich haben mal für ARF-Reports f2b evaluiert und dann bald die Finger davon gelassen: Die Idee war gut - der Code nicht. (Ralf würde sagen: Es war so schlecht, dass ich es umschreiben musste bevor ich es wegwarf...)
Das Logging des Daemons müsste natürlich den fehlgeschlagene Versuch mit dem benutzen Login erfassen. Ist das z.B. über den Loglevel steuerbar?
In dovecot siehst du im normalen Loglevel, ob ein Login fehlgeschlagen ist und auch den "user=<>":
2013-09-29T18:23:50.516957+02:00 joliett dovecot: imap-login: Aborted login (auth failed, 1 attempts in 2 secs): user=user@example.com, method=PLAIN, rip=xxx.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, session=<+Jj8JIjnNQBtLAAa>
Was müsste oder kann ich tun, um hier genauere Informationen zu erhalten?
Vielleicht kannst Du f2b ja nach "mehr" suchen lassen als es für den Sachverhalt "auth failed" benötigt und dann ist zufällig der user-String mit dabei. Nicht schön, aber effektiv.
p@rick
Ich verspreche mir davon, zeitnah zu sehen, auf welche Domain oder auf welches Konto eine inszenierte Attacke es gerade abgesehen hat. Ich hatte kürzlich den Fall, dass die Login-Daten eines Benutzers, vermutlich über einen längeren Zeitraum, erfolgreich von Angreifern getestet wurden und wie zu erwarten zum Versenden von Spam benutzt wurden. Im mail.log finde ich derzeit bei einem gescheiterten Login keine genaueren Angaben zu den benutzten Logindaten. Wohl aber bei einem erfolgreichen Login.
Euch vielen Dank für Tipps, Ideen oder andere Strategien ...
André Loos
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users