Oi eu estou usando postfix plus fail2ban no Centos 6.5, mas eu estou ficando botted (não estou transmitindo, mas lá vai você) e por alguma razão fail2ban não é capaz de cortar o ip e bloqueá-lo isso é 6/7 vezes um segundo indo para o meu /var/log/maillog
Mar 3 13:05:47 postfix/smtpd[27715]: lost connection after UNKNOWN from Unknown[209.15.212.253]
Mar 3 13:05:47 postfix/smtpd[27715]: disconnect from unknown[209.15.212.253]
Mar 3 13:05:47 postfix/smtpd[27715]: warning: valid_hostname: misplaced delimiter: .
Eu não tenho um problema com publishing
do IP deste bot porque ele claramente não é amigo de ninguém e é um mecanismo de spam de propósito criado ip (é RDNS como um ".", para tentar criar uma lacuna de delimitador mal colocada )
de qualquer maneira eu tenho fail2ban configurado bastante certo, ele me e-mail para dizer que ele está funcionando em sasl e postfix
aqui está o /etc/fail2ban/jail.local
findtime = 600
bantime = 600
maxretry = 6
[sasl-iptables]
enabled = true
filter = postfix-sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/maillog
maxretry = 5
bantime = 300
[postfix-tcpwrapper]
enabled = true
filter = postfix
action = hostsdeny[file=/not/a/standard/path/hosts.deny]
sendmail[name=Postfix, [email protected]]
logpath = /var/log/maillog
bantime = 300
maxretry = 6
##the following are done in sheer desperation - no idea if they are needed
[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
action = hostsdeny
logpath = /var/log/maillog
[perdition]
enabled = true
filter = perdition
action = iptables-multiport[name=perdition,port="110,143,993,995"]
logpath = /var/log/maillog
[dovecot-pop3imap]
enabled = true
port = pop3,pop3s,imap,imaps
filter = dovecot-pop3imap
action = hostsdeny
logpath = /var/log/maillog
Alguém pode me ajudar a explicar por que essas regras ainda estão em /var/logs/maillog
ainda está sendo escrito o tempo todo, e ninguém está sendo banido?
[/ EDIT] sendo um pouco de noob no fail2ban Eu não percebi (mais ou menos) bolas de mão a cada linha via regex - aqui está o meu /etc/fail2ban/filter.d/postfix.conf
# Fail2Ban filter for selected Postfix SMTP rejections
#
#
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
[Definition]
_daemon = postfix/smtpd
failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 : Helo command rejected: Host not found; from=<> to=<> proto=ESMTP helo= *$
^%(__prefix_line)sNOQUEUE: reject: VRFY from \S+\[<HOST>\]: 550 5\.1\.1 .*$
ignoreregex =
# Author: Cyril Jaquier