Hallo zusammen
System: Mail-Server openSuSI 12.3 mit sendmail 8.14
Im /var/log/mail erscheinen laufend Eintraege wie dieser:Bis heute habe ich die IP-Adressen manuell in meine Firewall eingepflegt, aber das kann ja kein Zustand sein. Dafuer gibt es ja "fail2ban".Code:2013-05-17T08:25:52.805138+02:00 server3 sendmail[18037]: r4H6PaM6018037: [14.37.9.28]: possible SMTP attack: command=AUTH, count=7
Also schnell File "filter.d/sendmail-auth.conf" installiert und hinzugefuegt:und auch jail.local:Code:[Definition] # Option: failregex # Notes.: regex to match the password failures messages in the logfile. # Values: TEXT # failregex = server3(?:\[\d+\])?: .*: .* \[<HOST>\].*: possible SMTP attack: command=AUTH, count=\d+$ # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex =Beim Start kommt leider folgender Fehler:Code:[sendmail-auth] enabled = true port = smtp, ssmtp filter = sendmail-auth logpath = /var/log/mail.log bantime = 600 action = %(action_mwl)s maxretry = 2Bitte um einen kleinen Stups in die richtige Richtung. fail2ban ist vollkommen neu fuer mich. Ich vermute, dass mit der "action" was faul ist, denn ohne mein zusaetzliches "jail.local" startet fail2ban durch ....Code:server3:/etc/fail2ban # fail2ban-client start WARNING 'action' not defined in 'php-url-fopen'. Using default value WARNING 'action' not defined in 'lighttpd-fastcgi'. Using default value WARNING 'action' not defined in 'lighttpd-auth'. Using default value WARNING 'action' not defined in 'sendmail-auth'. Using default value ERROR Error in action definition ERROR Errors in jail 'sendmail-auth'. Skipping... server3:/etc/fail2ban #
Danke und Gruss Pit.
Zitieren
Lesezeichen