SELinux が Fail2Ban による msmtp 経由の電子メール通知を阻止する

私は、AWS SES アカウントに SMTP 用に接続するヌル クライアントとして msmtp を持っており、cron、monit、そして近いうちに Fail2Ban などのアラートを自分の電子メール アドレスに配信します。しかし、Fail2Ban はうまく機能していません。もっと正確に言うと、selinux が物事を阻止しています。

action_mwl は Permissive モードでは問題なく動作します。禁止メールが届きます。Enforcing モードでは、Fail2Ban がエラーを記録し、メールは送信されません。msmtp ログによると、送信が試みられていますが、送信されません。

以下は、Fail2Ban ログ エントリ (の一部) です。

2015-09-29 12:25:12,543 fail2ban.actions        [31113]: ERROR   Failed to execute ban jail 'wordpress' action 'sendmail-whois-lines' info 'CallingMap({'ipjailmatches': <function <lambda> at 0x2c5ac08>, 'matches': u'

msmtp レポート:

Sep 29 12:25:12 host=email-smtp.eu-west-1.amazonaws.com tls=on auth=on user=12345 [email protected] [email protected] errormsg='cannot connect to email-smtp.eu-west-1.amazonaws.com, port 587: Permission denied' exitcode=EX_TEMPFAIL

これは、msmtp 構成の問題でも、電子メール本文の内容の問題でもありません。コマンド ライン パイプから msmtp に (直接、または sendmail シンボリック リンク経由で) 正確に Fail2Ban メッセージを送信でき、問題なく送信されます。資格情報なども問題ありません。cron 経由でも動作します。つまり、これはファイアウォールの問題でもありません。

$ sudo ls -lZ /usr/bin/msmtp
-rwxr-xr-x. root root system_u:object_r:bin_t:s0       /usr/bin/msmtp

$ sudo ls -lZ /usr/bin/sendmail
lrwxrwxrwx. root root unconfined_u:object_r:bin_t:s0   /usr/bin/sendmail -> /usr/bin/msmtp

jail.conf の場合:

mta = sendmail

sealert は、私が認識したりアクションを実行したりできるヒントを何も提供しません。

fail2ban が root として実行されることを確認しました:

$ ps aux | grep fail2ban

追加のログを追加したところ、/var/log/messagesに次のログが出力されました。

Sep 29 16:11:15 ip-172-31-6-51 setroubleshoot: SELinux is preventing /usr/bin/msmtp from name_connect access on the tcp_socket port 587. For complete SELinux messages. run sealert -l 78f05dbd-a953-4196-9f14-afaabb5a4d88
Sep 29 16:11:15 ip-172-31-6-51 python: SELinux is preventing /usr/bin/msmtp from name_connect access on the tcp_socket port 587.

次にどこを確認すればよいでしょうか? SELinux Fail2Ban が msmtp と適切に連携できることをどのように確認できますか?