No tutorial sobre Firewall configuramos o Fail2Ban para banir tentativas hackers em vários serviços, incluindo o Servidor de Emails. Adicionamos um bloco para o Postfix detectar ataques, que nem sempre são reconhecidos com a configuração padrão, vamos melhorar essa detecção.
Edite o arquivo /etc/fail2ban/filter.d/postfix.conf e substitua o bloco de cósdigo “failregex” por este abaixo:
failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
^%(__prefix_line)sNOQUEUE: reject: VRFY from \S+\[<HOST>\]: 550 5\.1\.1 .*$
^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 454 4\.7\.1 :*$
reject: RCPT from (.*)\[<HOST>\]: 550 5.1.1
reject: RCPT from (.*)\[<HOST>\]: 450 4.7.1
reject: RCPT from (.*)\[<HOST>\]: 554 5.7.1
reject: RCPT from unknown\[<HOST>\]: 454 4.7.1
warning: Illegal address syntax from unknown\[<HOST>\]
warning: non-SMTP command from unknown\[<HOST>\]:
connect from unknown\[<HOST>\]
Em seguida verifique se as novas regras coletam ataques em seu servidor com o comando:
> fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix.conf
E se estiver tudo certo reinicie o Fail2Ban:
> /etc/init.d/fail2ban restart