Seite 1 von 1

Aktivitäten bleibt leer aka und täglich grüßt das Murmeltier

Verfasst: 11. Jun 2014, 20:12
von Django
Ahoi Martin,

die Frage wurde zwar schon öfters gestellt, aber dennoch muss ich nochmal das Fass aufmachen.

In der Serverübersicht habe ich bei den Aktivitäten Attacken: 0 und Reports: 0 und das obwohl ich einen 250er bei meinen Einlieferungsversuchen von Deinem MX bekomme.

Code: Alles auswählen

Jun 11 20:52:23 vml000080 postfix/smtp[30353]: D854874: to=<fail2ban@blocklist.de>, orig_to=<f2b-reports@example.com>, relay=smtp-mx.blocklist.de[93.180.154.80]:25, delay=12, delays=12/0.01/0.32/0.26, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as A9DA6A14569B)
f2b-reports@example.com ist ein alias auf meinem MX, der die reportingmails an mehrere Ziele verteilt und auch seit heute an Euren MX. Selbst wenn ich versuchsweise exclusiv die fail2ban@blocklist.de eintrage, sehe ich in der Serverübersicht nix. :o Schaue ich mir die Email bei einem der anderen Empfänger an, so habe ich dort:

Code: Alles auswählen

Subject: [Fail2Ban] postfix-sasl: banned 186.215.174.252 from vml000080.dmz.example.com
Date: Wed, 11 Jun 2014 18:52:08 +0000
From: Fail2Ban <fail2ban@vml000080.dmz.example.com>
To: f2b-reports@example.com

....
Die Absende-Adresse hab ich auch im Feld AbsenderAdresse: bei der Serverdefinition eingetragen. Das sollte also passen.

Hast Du einen Tip auf Lager, warum meine Nachrichten zwar angenommen aber dann, aus meiner Sichtwarte aus, nicht weiter verarbeitet werden (können)?


ttyl
Django

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Verfasst: 11. Jun 2014, 20:30
von Martin
Hi,

die Mails kommen an, können allerdings nicht verarbeitet werden, da diese keine Logfiles enthalten.

Bitte prüfe einmal die Fail2Ban-Einstellungen, ob die Sende-Option "sendmail-whois-lines" (mit -lines) ist und die korrekte Logdatei angegeben wurde (bei /pfad/logs/* macht Fail2ban glaub keine Logeinträge).

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Verfasst: 11. Jun 2014, 20:50
von Django
HI Martin,

Keine Logfiles enthalten?

Also bei der letzten eMail von 21:38 Uhr habe ich am ende der eMail stehen:

Code: Alles auswählen

Lines containing IP:71.170.118.15 in /var/log/maillog

Jun 11 21:38:14 vml000080 postfix/smtpd[619]: connect from static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]
Jun 11 21:38:17 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jun 11 21:38:22 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jun 11 21:38:32 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jun 11 21:38:42 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: Connection lost to authentication server
Jun 11 21:38:53 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: Connection lost to authentication server
Jun 11 21:38:54 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Das mit der Sende-Option "sendmail-whois-lines" kucke ich mir gleich noch an.

ttyl
Django

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Verfasst: 11. Jun 2014, 20:54
von Django
also die Option ist gesetzt:

Code: Alles auswählen

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
             %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
Kann aber gut sein, dass doie ersten Mails noch ohne waren! Aber die letzten Mails ab 19:00 Uhr waren alle mit den Logauszügen.

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Verfasst: 11. Jun 2014, 22:31
von Martin
Hi,

wir haben nur die Mail von der Message-ID A9DA6A14569B geprüft.
Dort waren keine Logs enthalten:

Code: Alles auswählen

...
source:         APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS2)

Regards,

Fail2Ban
Seit ca. 17:45 Uhr sind zu deiner Absender-Adresse keine Fehler mehr im Log aufgetaucht.
Die Liste im Profil sollte daher bereits einige Attacken anzeigen (ist gecached).

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Verfasst: 12. Jun 2014, 13:47
von Django
Griasde Martin!
Martin hat geschrieben: Seit ca. 17:45 Uhr sind zu deiner Absender-Adresse keine Fehler mehr im Log aufgetaucht.
Die Liste im Profil sollte daher bereits einige Attacken anzeigen (ist gecached).
Also, ich zwei Nachrichten für Dich, eine gute und eine schlechte. O.K., die gute zuerst. Die Attacken auf Postfix-SASL haben seit dem einsatz von fail2ban von mehreren 100 auf eine handvoll aktuell abgenommen. Soweit so gut.

Die schlechte ist, ich sehe weder einen Graphen noch eine mengenmäßige Auflistungen bei meiner Serverdefinition. Liegt vermutlich an meinem schlechten Karma! :lol: Oder hast Du eine bessere Erklärung?

Servus
Django

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Verfasst: 13. Jun 2014, 22:48
von Martin
Hi,

das Problem ist, das die Mails per SRS umgeschrieben sind. Dadurch ist der "FROM"-Eintrag anders und stimmt nicht mit der E-Mailadresse aus dem Profil überein.
Wenn der srs-Tag immer gleich ist, reicht es aus im Profil die E-Mailadresse des Servers auf diese zu ändern:
SRS0+T8mg=3K=vml0.....

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Verfasst: 19. Jun 2014, 11:18
von Django
HI Martin,

O.K., hab das setting entsprechend geändert und nun passt es. Danke für den Tip!


Servus
Django