Fail2Ban mit Amavis

Anleitungen zu Fail2Ban, blocklist.de und x-arf
Antworten
Benutzeravatar
Falconbase
Beiträge: 97
Registriert: 14. Sep 2010, 11:20
Wohnort: Wallersdorf
Kontaktdaten:

Fail2Ban mit Amavis

Beitrag von Falconbase » 31. Mär 2011, 13:23

Nun gibts eine Anleitung mit Fail2ban und Amavis um Spam- und Viren-Schleudern zu reporten/sperren.

Wir erstellen unter filter.d/ eine Datei amavis.conf mit folgendem Inhalt:

Code: Alles auswählen

# Fail2Ban configuration file
[Definition]
# Option:  failregex
failregex = (.*) Blocked SPAM, \[<HOST>\]
            (.*) Blocked INFECTED (.*), \[<HOST>\]

# Option: ignoreregex
ignoreregex =

Als nächstes brauchen wir eine neue Section in jail.conf:

Code: Alles auswählen

[Amavis]

enabled = true
filter = amavis
action = iptables[name=amavis, port=25, protocol=tcp]
sendmail-whois-lines[name=amavis, dest=fail2ban@blocklist.de, sender=fail2ban@DEINE-DOMAIN, logpath=%(logpath)s]
logpath = /var/log/mail.log
maxretry = 4
fail2ban@DEINE-DOMAIN ist entsprechend abzuändern.
Grüße Falconbase

http://www.kunesch.net

Benutzeravatar
Falconbase
Beiträge: 97
Registriert: 14. Sep 2010, 11:20
Wohnort: Wallersdorf
Kontaktdaten:

Fail2Ban mit Amavis

Beitrag von Falconbase » 28. Mai 2011, 02:57

Anbei eine kleine aber schöne Ergänzung, dadurch kann man die Anzahl an Treffer pro Virus- oder Spam-Mail verändern:

Erstellt unter filter.d/ einmal eine amavis-spam.conf:

Code: Alles auswählen

# Fail2Ban configuration file
[Definition]
# Option:  failregex
failregex = (.*) Blocked SPAM, \[<HOST>\]

# Option: ignoreregex
ignoreregex =
und dann noch eine amavis-virus.conf:

Code: Alles auswählen

# Fail2Ban configuration file
[Definition]
# Option:  failregex
failregex = (.*) Blocked INFECTED (.*), \[<HOST>\]

# Option: ignoreregex
ignoreregex =
Danach brauchen wir zwei statt einer neuen Section in jail.conf:

Code: Alles auswählen

[Amavis-Spam]

enabled = true
filter = amavis-spam
action = iptables[name=amavis, port=25, protocol=tcp]
sendmail-whois-lines[name=amavis, dest=fail2ban@blocklist.de, sender=fail2ban@DEINE-DOMAIN, logpath=%(logpath)s]
logpath = /var/log/mail.log
maxretry = 3

[Amavis-Virus]

enabled = true
filter = amavis-virus
action = iptables[name=amavis, port=25, protocol=tcp]
sendmail-whois-lines[name=amavis, dest=fail2ban@blocklist.de, sender=fail2ban@DEINE-DOMAIN, logpath=%(logpath)s]
logpath = /var/log/mail.log
maxretry = 1
Durch diese Konfig wird schon bei einer Virus Mail ein Report erstellt aber bei Spam müssen es hier mindestens 3 Mails sein.
Grüße Falconbase

http://www.kunesch.net

Antworten