[Postfix-es] bloquear una determina ip

John Edisson Ortiz Roman jortiz en grupozip.com
Lun Feb 18 14:38:07 CET 2008 

yo uso fail2ban y lo configuro para que me banee las ips que tengan mas
de 6 logueos fallidos en un lapso de tiempo determinado.


Walter escribió:
> Buenas:
>      tengo intenciones de bloquear una ip desde la cual intentan hacer
> login,
> por lo que veo, no lo logran, pero ya se esta haciendo recurrente este
> intento,
> postfix esta configurado para que solo puedan enviar correo desde la red
> interna, por lo tanto no es tema de precoupacion en este momento para mi
> , el usar este servidor para enviar spam,  quizas lo que mas me preocupa
> es que justo intentan hacer login con la cuenta de unos de los
> reponsables de la empresa (lease dueños), el servidor esta en Argentina,
> y por lo que veo en logwatch el intento es de una serie de ip de
> Toronto, osea, muy lejos nuestro, y tampoco en estos momento hay gente
> de viaje como para sospechar que alguno intenta loguear por temas de
> trabajo, bueno, solo esto, quizas puedan ayudarme, o explicarme mejor el
> tema.-
> 
> detalle de logwatch: las ip de las que hablo son las 168.144.108.xx
> las 192.168.0.xxx, son de la red interna, y la otras las genero yo al
> ver los correos desde fuera de la empresa
> 
> Dovecot IMAP and POP3] Connections:
>  ====================================
>                        Host |     POP3    |   IMAP   |   Total 
>  -------------------------- | ----------- |--------- | ---------
>                  
>              168.144.108.10 |           2 |        0 |         2
>              168.144.108.12 |           1 |        0 |         1
>              168.144.108.15 |           1 |        0 |         1
>              168.144.108.19 |           2 |        0 |         2
>              168.144.108.20 |           2 |        0 |         2
>              168.144.108.21 |           2 |        0 |         2
>              168.144.108.24 |           2 |        0 |         2
>              168.144.108.27 |           2 |        0 |         2
>              168.144.108.30 |           1 |        0 |         1
>              168.144.108.32 |           2 |        0 |         2
>              168.144.108.38 |           2 |        0 |         2
>               168.144.108.6 |           2 |        0 |         2
>               190.51.32.229 |          62 |        0 |        62
>                192.168.0.11 |         130 |        0 |       130
>                192.168.0.13 |         112 |        0 |       112
>                192.168.0.96 |         144 |        0 |       144
>                 200.5.72.71 |           2 |        0 |         2
>              201.213.94.229 |          12 |        0 |        12
> 
> Detalle de logcheck, desde donde veo el intento de login de usuario
> 
> Feb 18 05:01:38 mail dovecot: pop3-login: Aborted login: rip=168.144.108.30, lip=ip_publica_de_mi_servidor
> Feb 18 05:01:39 mail dovecot: pop3-login: Login: user=<usuario_Importante_de_mi_servidor>, method=PLAIN, rip=168.144.108.30, lip=ip_publica_de_mi_servidor
> Feb 18 05:01:40 mail dovecot: POP3<usuario_Importante_de_mi_servidor>: Disconnected: Logged out top=0/0, retr=0/0, del=0/3, size=709051
> Feb 18 05:01:41 mail dovecot: pop3-login: Aborted login: rip=168.144.108.30, lip=ip_publica_de_mi_servidor
> 
> Saludos y Gracias
> _______________________________________________
> List de correo Postfix-es para tratar temas del MTA postfix en español
> Postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es


-- 
John Edisson Ortiz Román
Consultor en Seguridad Informática
Cel: (301) 452 1678
Tel: 251 73 73

Más información sobre la lista de distribución Postfix-es