# fail2ban postfix-sasl.conf



## faber38 (28. Feb. 2016)

hallo,
ich weiß nicht ob der kleine Fehler schon aufgefallen ist...aber in der *postfix-sasl.conf* ist ein kleiner Fehler..mit großer Wirkung.
in der folgenden Beschreibung..
tutorial/*perfect-server-debian-8-jessie-apache-bind-dovecot-ispconfig-3/2/*

orginal = (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5)
besser = (?:LOGIN|*Login*|PLAIN|(?:CRAM|DIGEST)-MD5)

Das verursacht das das Wort "Login" ( kleingeschrieben) im Log-file auch ausgewertet wird..
So funktioniert fail2ban etwas besser...
und dadurch konnte ich mir die GeoIP geschichte sparen.

nun blockt fai2ban alles so wie es soll.


----------



## faber38 (22. März 2016)

ich musste leider feststellen das nach dem (? nur 2 Werte ausgefiltert werden...daher habe ich die postfix-sasl.conf
um weitere Zeilen erweitert damit ich die Auswahl Kriterien erweitern konnte und Fail2ban besser arbeiten kann. Sowie auch die Definition erweitert
Ich habe den Inhalt der Datei mal als Bild an-gehangen.


----------



## darkness_08 (22. März 2016)

nur so aus Neugier. Warum hast du den Code als Bild eingefügt?


----------



## faber38 (22. März 2016)

da die Textformation anderes nicht zulässt... sonst hab ich hier smileys und div. im Text.
oder ich weiß es nicht besser...


----------



## darkness_08 (22. März 2016)

Ah 
Versuch doch mal den Button Einfügen als --> Code. Das sollte funktionieren
	
	



```
:) :) geht
```
Bzw die CODE Tags verwenden


----------



## faber38 (22. März 2016)

ich dummerchen ich 


```
[INCLUDES]

before = common.conf

[Definition]

_daemon = (?:postfix/smtpd|postfix/submission/smtpd)

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*$
             ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:Login|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]$
             ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:
             ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:Login|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:

# Author: Yaroslav Halchenko
ignoreregex =
```


----------



## faber38 (24. März 2016)

wie die das immer wieder schaffen..unbegreiflich...
ich musste die postfix-sasl.conf um 2 Zeilen erweitern..

```
# Fail2Ban filter for postfix authentication failures
#

[INCLUDES]

before = common.conf

[Definition]

_daemon = (?:postfix/smtpd|postfix/submission/smtpd)

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
             ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:Login|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
             ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:
             ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:Login|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:
             ^%(__prefix_line)swarning: (.*?)does not resolve to address <HOST>: Name or service not known$
             ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:login|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
             ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:login|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:

# Author: Yaroslav Halchenko
ignoreregex =
```


----------

