最近几天,登录查看邮件日志,发现SMTP的扫描还是存在的,但是在fail2ban.log里面,却是没有记录,认真去对照日志以及拦截的规则,才发现一个问题,默认的登录失败,是采用下面的表达式来拦截的:
: warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed$
但是maillog的日志里面,基本都是
warning: unknown[192.162.102.45]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
主机都是unknown,也就是没有反向解释的主机,国内的机器,基本都是这样,所以扫描都没被拦截到,于是马上增加一个新的规则,拦截unknown主机:
warning: unknown\[<HOST>\]: SASL LOGIN authentication failed
这样,就可以拦截到了,完整的FAIL2BAN的安装和配置,可以参考下面的文章:
本文由山坛兄弟原创或编辑,转载请保留链接【解决fail2ban没拦截SMTP扫描的问题】http://www.030904.net/email/191.html 上一篇: 邮局维护之黑名单查询,解封,IP信誉查询等