Fail2ban na reguły spamassassina

Dziś przedstawię jak można użyć programu fail2ban na reguły spamassassina. UWAGA! Do tej techniki należy podejść bardzo ostrożnie!!! Nikt nie chce zablokować dużych serwerów. Należy używać tylko do wybranych reguł.

Warto przeczytać poprzednie wpisy o fail2ban: ogólny wpis o fail2ban i drugi wpis o blokowaniu domen . Ten drugi wpis polecam tez podobna technika. Całkowicie inne podejście to blokowanie na podstawie ;złapania’ reguły spamassassina. Najprościej będzie wytłumaczyć na przykładzie. Mamy regułę niebieski.net:(wpis tutaj

 header   ZABOJCASPAMU_NIEBIESKINET   ALL=~/\.niebieski\.net/
 describe ZABOJCASPAMU_NIEBIESKINET   W nagłówkach jest niebieski.net
 score    ZABOJCASPAMU_NIEBIESKINET   10

Teraz jeśli sie pojawi wpis taki w logach możemy zablokować dane IP. Oczywiście lista IP niebikski.net jest znana (lista IP w tym wpisie ). Ale może być niekompletna, może się zmienić, dojść nowy adres czy cokolwiek innego się może zmienić. W tym przypadku lista jest dynamiczna, tworzona na bieżąco.

Teraz czas na konfiguracje fail2ban. Zgodnie z wcześniejszymi opisami najpierw tworzymy plik z wyrażeniem regularnym. Plik umieszczamy w

/etc/fail2ban/filter.d/spam_rules.conf
Plik wygląda tak:

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = Blocked    SPAM , FROM_POSTFIX LOCAL \[<HOST>\] .+,ZABOJCASPAMU_NIEBIESKINET

Oczywiście może się zdarzyć, że będziecie mieli ciut inna linię i trzeba będzie zmienić regexpa.

A teraz definicja w pliku /etc/fail2ban/jailconf.conf Jedyną zmianą może być logpath czyli log amavisa

[spam_rules]
enabled = true
port = smtp,ssmtp,submission
filter = spam_rules
logpath = /var/lib/amavis/log/amavis.log
bantime = 43200
maxretry = 1

I teraz mamy system który będzie atumatycznie blokował IP serwisu niebieski.net. Zaletą jest mniejsza ilość spamu a wadą właściwie to, ze serwis będzie blokowany jak nawet przestanie rozsyłać spam. Ale to raczej niemożliwe:)

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *