# Fail2ban und Postfix



## Deex (6. Apr. 2013)

Ich habe mir schon einige andere Threads durchgelesen dazu auf dieser Seite , bin jedoch nicht fündig geworden.

Mein Problem sind ständige Login-. Versuche auf dem Server, heute alleine.


> Apr  6 12:34:54 z110 postfix/smtpd[19083]: warning:  DSL212-235-31-158.bb.netvision.net.il[212.235.31.158]: SASL LOGIN  authentication failed: UGFzc3dvcmQ6
> Apr  6 12:34:56 z110 postfix/smtpd[19083]: warning:  DSL212-235-31-158.bb.netvision.net.il[212.235.31.158]: SASL LOGIN  authentication failed: UGFzc3dvcmQ6
> Apr  6 12:34:58 z110 postfix/smtpd[19083]: warning:  DSL212-235-31-158.bb.netvision.net.il[212.235.31.158]: SASL LOGIN  authentication failed: UGFzc3dvcmQ6
> Apr  6 12:35:00 z110 postfix/smtpd[19083]: warning:  DSL212-235-31-158.bb.netvision.net.il[212.235.31.158]: SASL LOGIN  authentication failed: UGFzc3dvcmQ6
> ...


Nun wollte ich die mit Fail2Ban sperren,
hierfür nahm ich die sasl.conf in folgender Version



> # Fail2Ban configuration file
> #
> # Author: Yaroslav Halchenko
> #
> ...


Kurz um, mit diesen Einstellungen finde er nichts.

Meine local sieht so aus


> [sasl]
> 
> enabled  = true
> port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
> ...


Hat jemand eine idee woran es liegen könnte?
Liebe Grüße


----------



## Brainfood (16. Mai 2013)

/etc/fail2ban/filter.d/sasl.conf


```
# Fail2Ban configuration file
#
# Author: Yaroslav Halchenko
#
# $Revision: 728 $
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/]*={0,2})?$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
```
Regex Checks machst du wie folgt:



```
fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/sasl.conf
```
syslog / mail.log / mail.warn etc.


----------



## Brainfood (16. Mai 2013)

> Apr 6 12:40:01 z110 postfix/smtpd[19768]: warning: ::1: address not listed for hostname localhost


in meiner /etc/hosts steht:


```
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
```
Hast du in irgendeiner Postfix Config (main.cf etc) diesen ::1 Schmarn stehen?


----------

