Nervensägen blocken

Klaus Tachtler klaus at tachtler.net
Di Jul 30 09:00:25 CEST 2019


Hallo,

ich finde auch das bei 5x (Standard in Fail2Ban) eine Blockierung o.k. ist.

Bei Fail2ban in /etc/fail2ban/filter.d/postfix.conf kann ganz leicht  
die RegEx hinzugefügt werden:

/etc/fail2ban/filter.d/postfix.conf
===================================
...
failregex = ...
             ^%(__prefix_line)sNOQUEUE: reject: RCPT from  
\S+\[<HOST>\]: 577 5\.1\.1 <\S+>: Recipient address rejected: .*$

...


/etc/postfix/main.cf
====================
...
unverified_recipient_reject_code = 577
...


für:
====

Jul 30 08:35:29 server60 postfix/smtpd[14520]: NOQUEUE: reject: RCPT  
from spam.test.net[xxx.xxx.xxx.xxx]: 577 5.1.1 <unknown at tachtler.net>:  
Recipient address rejected: undeliverable address: host  
xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx] said: 550 5.1.1  
<unknown at tachtler.net> User doesn't exist: unknown at tachtler.net (in  
reply to RCPT TO command); from=<spammer at spam.test.net>  
to=<unknown at tachtler.net> proto=ESMTP helo=<spam.test.net>


erzeugt dann in /var/log/fail2ban.log:
======================================
2019-07-30 08:37:15,026 fail2ban.filter         [19384]: INFO     
[postfix] Found xxx.xxx.xxx.xxx


Grüße
Klaus.

> Am 29.07.2019 um 08:30 schrieb Peter Buettner:
>> Hallo Daniel,
>>
>> bi mir werden unbekannte User mit 550 zurückgewiesen und dann alle
>> 550'er mit fail2ban gleich nach dem ersten Versuch geblockt.
>
> das finde ich etwas übertrieben. Jeder kann sich mal bei einer
> E-Mail-Adresse vertippen und will dann gleich mit der richtigen neu
> versenden.
>
> Bei 5x sehe ich das aber anders ...
>
> Gruß
> Kai
>
>
>>
>> Gruß Peter Büttner
>>
>> Am 29.07.19 um 04:26 schrieb Daniel:
>>> Hallo Liste,
>>>
>>> wie geht ihr mit Nervensägen um welche Logs zumüllen durch  
>>> tagelange Versuche an wahllose und hunderte sinnlose Versuche an
>>> Postfächer zuzustellen welche es nicht gibt.
>>>
>>> Also es gibt z.B. User, es wird versucht zuzustellen an User123,  
>>> Userur, User333, usw. in zich Varianten.
>>>
>>> Beim Auswerten der Log nervt es einfach wenn da soviele reject  
>>> stehen, da bei Spamhaus und/oder uceprotect in RBL stehen.
>>>
>>> Annehmen und verwerfen ist schlechte Idee, dann kommt da wohl mit  
>>> Zeit noch mehr weil denken haben Erfolg, und zudem rechtlich
>>> riskant.
>>>
>>> Also besser direkt in Firewall blocken. Aktuell sind es bei mir  
>>> welche ich direkt geblockt habe:
>>> 37.120.150.0
>>> 45.82.34.0
>>> 134.73.76.0
>>> 212.7.222.0
>>> 217.112.128.0
>>>
>>> Macht ihr sowas manuell? Script mit IPban und co.?
>>>
>>> Gruß Daniel
>>>
>>>
>
>
> --
> Kai Fürstenberg
>
> PM an: kai at fuerstenberg punkt ws


----- Ende der Nachricht von Kai Fürstenberg  
<kai_postfix at fuerstenberg.ws> -----



-- 

--------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
--------------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-keys
Dateigröße  : 3121 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20190730/d53de8a3/attachment.skr>


Mehr Informationen über die Mailingliste Postfixbuch-users