[postfix-es] Configurando fail2ban y fracasando en el intento

Christian Schmitz list en schweb.com.ar
Vie Sep 18 00:36:33 CEST 2015 

Hola a todos:
Tengo un servidor postfix montado en un opensuse 13.1. El tema es largo, pero 
si empiezo a desandar la madeja ya me doy por satisfecho. 

Lo primero es que estoy sufriendo una serie de ataques de autenticacion por 
fuerza bruta.
Lo curioso es que el postfix no genera ningun renglon similar a este econtrado 
en internet:
"Oct 21 10:19:49 server1 postfix/smtpd[2715]: warning: unknown[116.12.154.18]: 
SASL LOGIN authentication failed: authentication failure"

Sin embargo SI genera:
"lost connection after AUTH from unknown[170.178.174.188]"

y otros donde AUTH está reemplazado por EHLO y CONNECT

Aqui va mi primer pregunta: ¿Porque no se genera? y ¿que debo cambiar en la 
configuracion para que si lo haga?.

A raiz de lo primero estoy configurando FAIL2BAN. Pero no logro hacer andar 
bien. Buscando en el log /var/log/fail2ban.log veo un montón de alertas:

#2015-09-17 18:35:18,554 fail2ban.filter [4711]: WARNING Unable to find a 
corresponding IP address for unknown: [Errno -2] Name or service not known

Entonces entro y miro en /var/log/mail y en ese horario lo unico que encuentro 
es:
#2015-09-17T18:35:16.195314-03:00 schweb postfix/smtpd[22042]: warning: 
hostname asociados.bancocredicoop.coop does not resolve to address 
200.47.24.44: Name or service not known


En el archivo postfix-sasl.conf ( donde están las reglas del sasl) tengo las 
siguientes reglas:

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|
PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?
\s*$

	^%(__prefix_line)slost connection after AUTH from .*\[<HOST>\]$

	^%(__prefix_line)slost connection after EHLO from .*\[<HOST>\]$

	^%(__prefix_line)slost connection after CONNECT from .*\[<HOST>\]$

	^%(__prefix_line)slost connection after MAIL from .*\[<HOST>\]$

	^%(__prefix_line)sIllegal address syntax from .*\[<HOST>\]$

	^%(__prefix_line)swarning: Connection rate limit exceeded .*\[<HOST>\] for 
service smtp$

Parece ser que la primer regla es la que dispara el baneo. En este caso el 
sender es un banco, y si es verdad que es el banco. ¿Como puede ser que se 
dispare la primer regla si el /var/log/mail no contiene "authentication 
failed" en ningun lugar?

Tercer pregunta, ¿como puedo probar las reglas regexp fuera del postfix?

Gracias de antemano
Christian

-- 
En un mundo sin fronteras.... ¿Quién necesita Puertas y Ventanas?
EN INGLES: In a world without frontiers, who needs Gates and Windows
http://www.schdev.com.ar
http://gnc2.schdev.com.ar

Más información sobre la lista de distribución postfix-es