Fail2ban Postfix/Dovecot

[agarbathi]

Hallo zusammen,

ich geh mittlerweile am Stock.. hab bisher verzweifelt versucht fail2ban einzurichten... ich denke ich hab mittlerweile jedes Tutorial durch das ich finden konnte! Vielleicht habt Ihr ja eine Idee!?! System ist ein Debian 6

meine /etc/fail2ban/filter.d/dovecot.conf:

Code: Select all

[INCLUDES]

[Definition]
failregex = authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=\S* rhost=<HOST> user=\S*
ignoreregex =

Auszug aus meiner /etc/fail2ban/jail.local:

Code: Select all

[dovecot]
enabled  = true
port     = imap,imaps,pop3,pop3s
filter   = dovecot
action   = iptables-multiport[name=dovecot, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath  = /var/log/mail.log
maxretry = 4
findtime = 1200
bantime  = 600

Hab schon mehrfach mail.log mit syslog oder auth.log getauscht... jedoch alles ohne das es funktionierte..

Was mich allerdings auch wundert ist, bei Eingabe von iptables -L unter der obigen Konfig.

Code: Select all

Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-dovecot  tcp  --  anywhere             anywhere            multiport dports pop3,pop3s,imap2,imaps

denn wenn ich das richtig verstehe scheint die Regel ansich ja in iptables zu laufen??

Naja, hoffentlich habt ihr vielleicht eine Idee!

Danke

[agarbathi]

ok.. ich schein den Fehler gefunden zu haben!

statt:

Code: Select all

failregex = authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=\S* rhost=<HOST> user=\S*

muss es wohl:

Code: Select all

failregex = authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=\S* rhost=<HOST>

heißen... :-)