Re: Tentatives de login avec dovecot

To: debian-user-french@lists.debian.org
Subject: Re: Tentatives de login avec dovecot
From: Philippe Gras <ph.gras@worldonline.fr>
Date: Wed, 4 Nov 2015 15:29:13 +0100
Message-id: <[🔎] 555A2DDF-A67A-45B0-A355-A22B5E90B0EA@worldonline.fr>
In-reply-to: <[🔎] 201511041256.18417.andre_debian@numericable.fr>
References: <[🔎] 201511041126.52604.andre_debian@numericable.fr> <[🔎] 5639E378.70008@doti.fr> <[🔎] 201511041256.18417.andre_debian@numericable.fr>

Le 4 nov. 2015 à 12:56, andre_debian@numericable.fr a écrit :

> On Wednesday 04 November 2015 11:52:40 Jean-Jacques Doti wrote:
>>> Je constate des centaines de tentatives d'authentification
>>> sur mon serveur pop dovecot :
>>> ============
>>> "authentication failure; logname= uid=0 euid=0 tty=dovecot
>>> ruser=hollie rhost=173.9.136.221 : 6 Time(s)"
>>> ============
>>> avec à chaque fois un "ruser" différent.
>>> Comment empêcher ces tentatives ?
> 
>> Sur mon serveur de messagerie, j'utilise fail2ban. Après installation, 
>> tout ce qu'il y a à faire c'est activer le jail dovecot. J'ai aussi 
>> augmenté le temps de bannissement par défaut (de 10 minutes à 10 
>> heures). Pour cela, j'ai simplement créé un fichier 
>> /etc/fail2ban/jail.local contenant :
>> ---------------------------
>> [DEFAULT]
>> bantime  = 36000
>> [dovecot]
>> enabled = true
>> ---------------------------
>> A+  Jean-Jacques
> 
> Grand merci, j'ai fait ce que tu préconises.
> Je verrai si ces login ont moindri, voire disparu ?

Ils ne disparaîtront pas, mais ils seront droppés après les X tentatives infructueuses

que tu auras définies dans jail.local (# cp jail.conf jail.local si besoin).

Au début du fichier, tu as toutes les définitions générales :
=================================================================
[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8 XXX.XXXX.XX/13 XX.XXX.XXX
findtime = 1127
bantime  = 600
maxretry = 3 # nombre de tentatives autorisées par défaut ;-)
=================================================================
Tu peux te faire envoyer des rapports de ban :
=================================================================
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
# destemail = root@localhost
destemail = monadresse@example.com
#
# ACTIONS
#
=================================================================
Continuer la suite pour affiner les configues de rapport…

Après, tu as des prisons spécifiques à chaque délit :
=================================================================
[default-forbidden]
enabled = false						# jail désactivée
filter = nginx-forbidden				# selon un filtre spécifique ou pas
port = http
banaction = iptables-xt_recent-echo	# et une action spécifique ou pas
logpath = /var/log/nginx/error.log		# le fichier de log à analyser
bantime = 2419200					# ah, mais moi je veux les bannir pour au moins 1 mois !
=================================================================
Après, tu as plein de trucs pour repérer les chieurs sur les mails :
=================================================================
[postfix]

# enabled  = false
enabled = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
bantime = 2419200

[couriersmtp]

# enabled  = false
enabled = true
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log
bantime = 2419200

#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

# enabled  = false
enabled = true
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log
bantime = 2419200

[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = /var/log/mail.log

[dovecot]

enabled = false
port    = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/mail.log
=================================================================
Pareil, tu configures plus ou moins spécifiquement avec des filtres et des actions
perso selon tes besoins…

Je t'enverrai un rapport de ban sur ton adresse personnelle pour que tu voies à quoi
ça ressemble ;-)

> 

> "/etc/fail2ban/" contient aussi "jail.conf" :
> y a t-il ici une configuration à faire ?
> 
>> Je pense aussi que n'autoriser que les authentifications en SSL/TLS sur 
>> dovecot (que ce soit en POP3 ou en IMAP4) limite fortement le nombre des 
>> tentatives d'accès :
> 
> On le fait via "/etc/dovecot/dovecot.conf" ?
> 
> @+
> 
> André
> 
> 
>

Reply to:

Follow-Ups:
- Re: Tentatives de login avec dovecot
  - From: andre_debian@numericable.fr

References:
- Tentatives de login avec dovecot
  - From: andre_debian@numericable.fr
- Re: Tentatives de login avec dovecot
  - From: Jean-Jacques Doti <bugs@doti.fr>
- Re: Tentatives de login avec dovecot
  - From: andre_debian@numericable.fr

Prev by Date: Re: Debian Stretch/Sid, pourquoi Sid ?
Next by Date: Re: caméra pour microscope
Previous by thread: Re: Tentatives de login avec dovecot
Next by thread: Re: Tentatives de login avec dovecot
Index(es):
- Date
- Thread