SCROLL
Среднее время на прочтение: 1 мин.

Настройка Fail2Ban для защиты Postfix от атак на аутентификацию SASL в Debian 12

Рассмотрим как настроить Fail2Ban для защиты Postfix от попыток подбора паролей при аутентификации через SASL в Debian 12.

Когда проверка подлинности SASL завершается неудачей в лог записываются записи вида:

...
Oct 20 08:00:42 mail postfix/smtps/smtpd[23234]: warning: unknown[5.34.207.172]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Oct 20 08:00:42 mail postfix/smtps/smtpd[23234]: lost connection after AUTH from unknown[5.34.207.172]
...

Установка Fail2Ban

Прежде чем начать, убедитесь, что fail2ban установлен на сервере:

apt update && apt install fail2ban -y

Настройка Fail2Ban

Создаем фильтр /etc/fail2ban/filter.d/postfix-sasl.conf и добавляем в него следующий фильтр для определения неудачных попыток входа:

cat << EOF > /etc/fail2ban/filter.d/postfix-sasl.conf
[INCLUDES]
before = common.conf
[Definition]
_daemon = postfix(-\w+)?/\w+(?:/smtp[ds])?
failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
ignoreregex =
EOF

В файле /etc/fail2ban/jail.local добавьте следующие настройки:

[DEFAULT]
backend = systemd

[postfix-sasl]
enabled      = true
action       = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission", protocol=tcp]
filter       = postfix-sasl
journalmatch = _SYSTEMD_UNIT=postfix.service
maxretry     = 3
findtime     = 10m
bantime      = 86400

Уведомления на EMAIL

Если необходимо отправлять уведомления о блокировках на email, то нужно в action добавить:

[DEFAULT]
destemail = alerts@your-domain.com
sender    = fail2ban@your-domain.com

[postfix-sasl]
...
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission", protocol=tcp]
         sendmail-whois
...

Применение правил

Для применения правила, перечитываем конфигурационный файл fail2ban:

/etc/init.d/fail2ban reload

Проверка работы правила

Для проверки что правило работает, можно запустить проверку работы правила, командой:

fail2ban-regex --print-all-match systemd-journal /etc/fail2ban/filter.d/postfix-sasl.conf
 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

Обсуждение

0 комментариев

Нет комментариев.