[rspamd] Tipp: Penetrante Hosts ausbremsen mit fail2ban

[Achim Lammerts]

Hallo Liste,
es gibt ja penetrante Hosts, die trotz permanentem reject immer wieder 
die Einlieferung von Spam versuchen. Zwar kann man den reject aus dem 
Milter in der f2b-Konfiguration auch gut in die vorhandenen Regeln für 
den Postfix integrieren, allerdings werden damit dann nur die rejects 
abgefangen.
Manche Spam-Mails schlüpfen ja unterhalb des reject score durch und die 
Spammer nutzen das dann gnadenlos aus. Abhilfe bringt ein eigenes Jail 
mit Filter für den rspamd.

-----------------------------------------------
/etc/fail2ban/filter.d/rspamd-ipblacklist.conf:

[INCLUDES]
before = common.conf
datepattern = {^LN-BEG}%%Y-%%m-%%d %%H:%%M:%%S
[Definition]
_daemon = rspamd_proxy
failregex = ^.* <HOST>,.*reject.*
             ^.* <HOST>,.*rewrite.*

Der Eintrag im Logfile enthält die komplette Auswertung des rspamd, 
daher kann man die failregex auch gut auf bestimmte Symbole hin 
verfeinern, bzw. eine ignoreregex definieren.

----------------------------------------------
Aktivierung des Jail:

[rspamd-ipblacklist]
enabled = true
usedns = no # DNS-Abragen zur IP aus dem Log sind sinnlos
filter = rspamd-ipblacklist
logpath = /var/log/rspamd/rspamd.log
maxretry = 2
findtime = 10800 # 3 h
bantime = 21600 # 6 h

service fail2ban restart

Test:
fail2ban-regex /var/log/rspamd/rspamd.log \
	/etc/fail2ban/filter.d/rspamd-ipblacklist.conf \
	--print-all-matched > /var/log/rspamd/f2bmatched.txt

Nutzt man auch das recidive jail in f2b, hält man sich durch die 
Eskalation der Sperrzeit die Jungs auch mal wochenlang vom Leib, ohne 
händische Pflege von IP-Blacklists.


Guten Start in die Woche!
LG/A

-- 
Direktkontakt: ml-pbu at syntaxys.de