fail2ban blockiert den Zugriff auf IMAP-Ports nicht

2024-6-11 • tag-icon

fail2ban blockiert den Zugriff auf IMAP-Ports nicht

Ich habe einen Mailserver mit dovecot. Ich verwende fail2banihn mit aktiviertem Jail [dovecot]. Hier ist der Status dieses Jails.

# fail2ban-client status dovecot
Status for the jail: dovecot
|- Filter
|  |- Currently failed: 5
|  |- Total failed:     94
|  `- File list:        /var/log/mail.warn /var/log/auth.log
`- Actions
   |- Currently banned: 23
   |- Total banned:     23
   `- Banned IP list:   102.165.49.129 114.220.45.96 115.98.44.72 117.20.117.40 117.81.173.196 117.81.173.227 121.227.161.24 121.239.88.158 180.107.116.92 180.107.125.85 185.137.111.14 185.137.111.145 185.137.111.44 185.137.111.77 185.234.216.120 221.225.183.210 221.225.183.214 221.225.26.196 45.13.36.22 45.227.253.107 49.73.157.152 5.178.153.116 111.94.169.183

Ich habe den Blocktyp vom Standard REJECT --reject-with icmp-port-unreachableauf neu definiert DROP. Hier ist die Ausgabe von iptables -S.

...
-A f2b-dovecot -s 45.13.36.22/32 -j DROP
-A f2b-dovecot -s 221.225.26.196/32 -j DROP
-A f2b-dovecot -s 221.225.183.214/32 -j DROP
-A f2b-dovecot -s 221.225.183.210/32 -j DROP
-A f2b-dovecot -s 185.234.216.120/32 -j DROP
-A f2b-dovecot -s 185.137.111.77/32 -j DROP
-A f2b-dovecot -s 185.137.111.44/32 -j DROP
-A f2b-dovecot -s 185.137.111.145/32 -j DROP
-A f2b-dovecot -s 185.137.111.14/32 -j DROP
-A f2b-dovecot -s 180.107.125.85/32 -j DROP
-A f2b-dovecot -s 180.107.116.92/32 -j DROP
-A f2b-dovecot -s 121.239.88.158/32 -j DROP
-A f2b-dovecot -s 121.227.161.24/32 -j DROP
-A f2b-dovecot -s 117.81.173.227/32 -j DROP
-A f2b-dovecot -s 117.81.173.196/32 -j DROP
-A f2b-dovecot -s 117.20.117.40/32 -j DROP
-A f2b-dovecot -s 115.98.44.72/32 -j DROP
-A f2b-dovecot -s 114.220.45.96/32 -j DROP
-A f2b-dovecot -s 102.165.49.129/32 -j DROP
...

Ich erhalte jedoch immer wieder Nachrichten wie

May 27 22:27:08 mail auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot [email protected] rhost=185.137.111.77

Ich nehme an, dass IMAP-Verbindungen von diesen gesperrten IP-Adressen aus versucht werden. Wenn ich jedoch manuell ausführe

iptables -I f2b-dovecot <MY_IP> -j DROP

und Renn

telnet MY_MAIL_SERVER 993

die Pakete werden wie erwartet gelöscht.

Frage: Warum erhalte ich noch immer pam_unix(dovecot:auth) authentication failureNachrichten auf meinem auth.log? Werden Verbindungen zu den IMAP-Ports nicht blockiert?

verwandte Informationen