Dziś przedstawię jak można użyć programu fail2ban na reguły spamassassina. UWAGA! Do tej techniki należy podejść bardzo ostrożnie!!! Nikt nie chce zablokować dużych serwerów. Należy używać tylko do wybranych reguł.
Warto przeczytać poprzednie wpisy o fail2ban: ogólny wpis o fail2ban i drugi wpis o blokowaniu domen . Ten drugi wpis polecam tez podobna technika. Całkowicie inne podejście to blokowanie na podstawie ;złapania’ reguły spamassassina. Najprościej będzie wytłumaczyć na przykładzie. Mamy regułę niebieski.net:(wpis tutaj
header ZABOJCASPAMU_NIEBIESKINET ALL=~/\.niebieski\.net/ describe ZABOJCASPAMU_NIEBIESKINET W nagłówkach jest niebieski.net score ZABOJCASPAMU_NIEBIESKINET 10
Teraz jeśli sie pojawi wpis taki w logach możemy zablokować dane IP. Oczywiście lista IP niebikski.net jest znana (lista IP w tym wpisie ). Ale może być niekompletna, może się zmienić, dojść nowy adres czy cokolwiek innego się może zmienić. W tym przypadku lista jest dynamiczna, tworzona na bieżąco.
Teraz czas na konfiguracje fail2ban. Zgodnie z wcześniejszymi opisami najpierw tworzymy plik z wyrażeniem regularnym. Plik umieszczamy w
/etc/fail2ban/filter.d/spam_rules.conf
Plik wygląda tak:
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = Blocked SPAM , FROM_POSTFIX LOCAL \[<HOST>\] .+,ZABOJCASPAMU_NIEBIESKINET
Oczywiście może się zdarzyć, że będziecie mieli ciut inna linię i trzeba będzie zmienić regexpa.
A teraz definicja w pliku /etc/fail2ban/jailconf.conf Jedyną zmianą może być logpath czyli log amavisa
[spam_rules] enabled = true port = smtp,ssmtp,submission filter = spam_rules logpath = /var/lib/amavis/log/amavis.log bantime = 43200 maxretry = 1
I teraz mamy system który będzie atumatycznie blokował IP serwisu niebieski.net. Zaletą jest mniejsza ilość spamu a wadą właściwie to, ze serwis będzie blokowany jak nawet przestanie rozsyłać spam. Ale to raczej niemożliwe:)