pibi
17.05.13, 12:31
Hallo zusammen
System: Mail-Server openSuSI 12.3 mit sendmail 8.14
Im /var/log/mail erscheinen laufend Eintraege wie dieser:
2013-05-17T08:25:52.805138+02:00 server3 sendmail[18037]: r4H6PaM6018037: [14.37.9.28]: possible SMTP attack: command=AUTH, count=7Bis heute habe ich die IP-Adressen manuell in meine Firewall eingepflegt, aber das kann ja kein Zustand sein. Dafuer gibt es ja "fail2ban".
Also schnell File "filter.d/sendmail-auth.conf" installiert und hinzugefuegt:
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile.
# Values: TEXT
#
failregex = server3(?:\[\d+\])?: .*: .* \[<HOST>\].*: possible SMTP attack: command=AUTH, count=\d+$
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex = und auch jail.local:
[sendmail-auth]
enabled = true
port = smtp, ssmtp
filter = sendmail-auth
logpath = /var/log/mail.log
bantime = 600
action = %(action_mwl)s
maxretry = 2Beim Start kommt leider folgender Fehler:
server3:/etc/fail2ban # fail2ban-client start
WARNING 'action' not defined in 'php-url-fopen'. Using default value
WARNING 'action' not defined in 'lighttpd-fastcgi'. Using default value
WARNING 'action' not defined in 'lighttpd-auth'. Using default value
WARNING 'action' not defined in 'sendmail-auth'. Using default value
ERROR Error in action definition
ERROR Errors in jail 'sendmail-auth'. Skipping...
server3:/etc/fail2ban # Bitte um einen kleinen Stups in die richtige Richtung. fail2ban ist vollkommen neu fuer mich. Ich vermute, dass mit der "action" was faul ist, denn ohne mein zusaetzliches "jail.local" startet fail2ban durch ....
Danke und Gruss Pit.
System: Mail-Server openSuSI 12.3 mit sendmail 8.14
Im /var/log/mail erscheinen laufend Eintraege wie dieser:
2013-05-17T08:25:52.805138+02:00 server3 sendmail[18037]: r4H6PaM6018037: [14.37.9.28]: possible SMTP attack: command=AUTH, count=7Bis heute habe ich die IP-Adressen manuell in meine Firewall eingepflegt, aber das kann ja kein Zustand sein. Dafuer gibt es ja "fail2ban".
Also schnell File "filter.d/sendmail-auth.conf" installiert und hinzugefuegt:
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile.
# Values: TEXT
#
failregex = server3(?:\[\d+\])?: .*: .* \[<HOST>\].*: possible SMTP attack: command=AUTH, count=\d+$
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex = und auch jail.local:
[sendmail-auth]
enabled = true
port = smtp, ssmtp
filter = sendmail-auth
logpath = /var/log/mail.log
bantime = 600
action = %(action_mwl)s
maxretry = 2Beim Start kommt leider folgender Fehler:
server3:/etc/fail2ban # fail2ban-client start
WARNING 'action' not defined in 'php-url-fopen'. Using default value
WARNING 'action' not defined in 'lighttpd-fastcgi'. Using default value
WARNING 'action' not defined in 'lighttpd-auth'. Using default value
WARNING 'action' not defined in 'sendmail-auth'. Using default value
ERROR Error in action definition
ERROR Errors in jail 'sendmail-auth'. Skipping...
server3:/etc/fail2ban # Bitte um einen kleinen Stups in die richtige Richtung. fail2ban ist vollkommen neu fuer mich. Ich vermute, dass mit der "action" was faul ist, denn ohne mein zusaetzliches "jail.local" startet fail2ban durch ....
Danke und Gruss Pit.