Depuis plus de 48 heures, je subis une attaque sur l'un de mes serveurs
de mails en provenance de Russie. Les logs sont plein de ce genre de chose :
Apr 29 10:06:33 rayleigh pop3d-ssl: ip=[::ffff:213.217.0.213], An
unexpected TLS packet was received.
Apr 29 10:06:33 rayleigh pop3d-ssl: Disconnected, ip=[::ffff:213.217.0.213]
Et ça défile à une vitesse délirante. Je tente donc de rajouter une
règle fail2ban mais elle ne fait rien.
J'ai rajouté courier-tls.conf:
[INCLUDES]
before = common.conf
[Definition]
_daemon = (imapd-ssl|pop3d-ssl)?
failregex = ^.*ip=\[<HOST>\], An unexpected TLS packet was received.$
ignoreregex =
datepattern = {^LN-BEG}
J'ai naturellement modifié le fichier de configuration de fail2ban et
cette règle est chargée :
2020-04-29 10:05:04,148 fail2ban.server [1114037]: INFO
Reload jail 'courier-tls'
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
encoding: UTF-8
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
maxRetry: 5
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
findtime: 600
2020-04-29 10:05:04,148 fail2ban.actions [1114037]: INFO
banTime: 600
Mais elle ne fait rien. Si je la teste avec fail2ban-regex, elle semble
toutefois fonctionner. Où donc ai-je fait une boulette ?
Bien cordialement,
JKB