silvesterlangen.de
Dovecot absichern
Es ist eine kluge Idee Dovecot mit Fail2Ban zu überwachen, dass es im Falle eines "Abklopfen" auf das richtige Passwort die Quell-IP (meist also den Angreifer) sperrt.
Dovcot bietet von Haus aus schon gleich die richtigen Logeinträge, sodass man nur noch Fail2Ban konfigurieren muss.
In die Datei /etc/fail2ban/jail.conf folgendes hinzufügen, falls es noch nicht vorhanden ist:
[dovecot]enabled = true
port = pop3,pop3s,imap,imaps
filter = dovecot
logpath = /var/log/mail.log
maxretry = 5
Danach in die Datei /etc/fail2ban/filter.d/dovecot.conf erstellen und dort folgendes eintragen:
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*
ignoreregex =
Hier aufgepasst! Das sind nur drei Zeilen. Die zweite Zeile (failregex =) endet mit ),.* und die dritte Zeile ist ignoreregex =.
