Fail2ban me bane após enviar e-mails de sucesso

1

Prezado, estou usando o Fail2Ban v0.8.13 no sistema CentOS 6 para proteger meus servidores Postfix. Basicamente funciona assim depois de 5 tentativas erradas de login no SMTP eu fui banido.

Fail2Ban Jail conf

 [sasl-iptables]
 enabled  = true
 filter   = sasl
 backend  = polling
 action   = iptables[name=sasl, port=smtp, protocol=tcp]
       sendmail-whois[name=sasl, [email protected],  [email protected]]
logpath  = /var/log/maillog
maxretry = 5

Minhas configurações de sasl em main.cf

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

Meu smtp.conf (Postfix)

pwcheck_method: saslauthd
mech_list: login CRAM-MD5 DIGEST-MD5

Meu status EHLO (Postfix)

EHLO mail.xxx.ch
250-mail.xxx.ch
250-PIPELINING
250-SIZE 50480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN CRAM-MD5 DIGEST-MD5
250-AUTH=LOGIN CRAM-MD5 DIGEST-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

O problema que tenho é que quando envio com o MS Outlook 2016 cinco vezes com sucesso um e-mail, o 6º e-mail é bloqueado.

Eu assumo que é um problema porque o Outlook tenta vários métodos de autenticação e alguns deles falham antes do login ser bem-sucedido no servidor SMTP Postfix

Tem alguém uma ideia de como posso resolver este problema, por ex. então o contador do Fail2Ban será resetado após o login bem-sucedido? Ou como posso otimizar as configurações do sfix postfix para que o outlook não tente executar vários métodos de autenticação até que um funcione? Então, de acordo com o arquivo de log, ele falha no MD5 Digest Method e depois passa para o método Login.

extrair do maillog (postfix)

Mar  8 23:38:44 postfix/smtpd[9295]: setting up TLS connection from   84-74-210-140.dclient.hispeed.ch[84.74.210.140]
Mar  8 23:38:44 postfix/smtpd[9295]: Anonymous TLS connection established from 84-74-210-140.dclient.hispeed.ch[84.74.210.140]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Mar  8 23:38:44 postfix/smtpd[9295]: warning: SASL authentication failure: realm changed: authentication aborted
Mar  8 23:38:44 postfix/smtpd[9295]: warning: 84-74-210-140.dclient.hispeed.ch[84.74.210.140]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  8 23:38:45 postfix/smtpd[9295]: 0AF2127E0113: client=84-74-210-140.dclient.hispeed.ch[84.74.210.140], sasl_method=LOGIN, sasl_username=xxxx

conforme solicitado na discussão abaixo, adicionei os filtros relevantes do Fail2ban

postfix-sasl.conf

   failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$

sasl.conf

   failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
    
por megloff 08.03.2016 / 23:42

1 resposta

2

Eu não encontrei muita informação se o DIGEST-MD5 está funcionando corretamente em conjunto com o Outlook e o Postfix. A maioria dos tópicos / discussões sobre este tópico que eu encontrei recomendaram remover o método DIGEST-MD5 da lista de mechs.

Meu smtp.conf (Postfix)

pwcheck_method: saslauthd
mech_list: login CRAM-MD5
    
por 10.03.2016 / 20:10