Fail2ban – proxy dovecot

L’installation d’un proxy IMAP sous dovecot doit s’accompagner d’une protection contre d’éventuelles attaques brute force ou autres, on doit donc le protéger grâce à Fail2ban.

Prérequis

On considère que votre serveur est fonctionnel et que Fail2ban est installé.

yum install fail2ban
apt-get install fail2ban

Configuration

Dans /etc/fail2ban/filter.d/dovecot-maillog.conf

[INCLUDES]

before = common.conf

[Definition]
# to test set up use this
# /usr/bin/fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-maillog.conf

failregex =  (?: Authentication failure|Aborted login).*rip=<HOST>(?:[^>]*(?:, session=<\S+>)?)\s*$

ignoreregex = (?: Disconnected: Logged out).*

Ensuite, il ne reste plus qu’à mettre en place la prise en charge du filtre par Fail2ban. Pour cela on ajoute dans le fichier /etc/fail2ban/jail.local le contenu suivant :

# dovecot defaults to logging to the mail syslog facility
# but can be set by syslog_facility in the dovecot configuration.

[dovecot-maillog]

enabled = true
filter = dovecot-maillog
action = iptables-multiport[name=dovecot-maillog, port="smtp,pop3,imap", protocol=tcp]
logpath = /var/log/maillog
maxretry = 3
findtime = 600
bantime = 1h
ignoreip = 172.16.0.0/12 192.168.0.0/16 10.0.0.0/8 127.0.0.1