Selbst ein maxretry von 1 würde ja nicht helfen. Laut Log kommen oft
zwei Versuche pro Sekunde, allerdings von verschiedenen IPs.

> Sieh dir mal
>
> von Robert an. Vielleicht paßt das besser.

Ja, ein Hinweis darauf wurde vor kurzem auf der Liste gepostet. Ich habe es
mir angesehen und dachte, sieht elegant aus, aber betrifft mich (noch) nicht.
So kann man sich irren. :^)

Ich werde mir das mal in einer ruhigen Stunde ansehen. Danke für den Tip.

Gruß
Helmut

—
————————————————————————-
Helmut Lichtenberg Tel.: 05034/871-128
Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany
————————————————————————-

Wenn die IP seltener als $maxretry vorbeikommt, ja.
Sieh dir mal

von Robert an. Vielleicht paßt das besser.

p@rick

—
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

doch, siehe letzten Post. Aber ist vielleicht maxretry hier zu hoch?

[DEFAULT]
action = %(action_mwl)s
backend = polling
ignoreip = 127.0.0.1/8 192.108.34.3
maxretry = 6

Gruß
Helmut

—
————————————————————————-
Helmut Lichtenberg Tel.: 05034/871-128
Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany
————————————————————————-

Werner Flamme schrieb am 08.08.2013 13:03:
> [08.08.2013 12:49] [Helmut Lichtenberg]:
> >
> > Kann ich davon ausgehen, dass dies ein Angriff ist? Die vielen verschiedenen
> > IP-Adressen, z.T in sehr kurzen Zeitabständen, sprechen m.E. dafür.
> >
> > Wenn dies so ist, kann/sollte ich etwas dagegen tun?
> > fail2ban ist installiert, spricht hierauf aber nicht an.
>
> wie hast Du fail2ban denn dafür konfiguriert? Meine Version hat keinen
> vorgegebenen Abschnitt für dovecot oder pop.
>
> Wohin loggt dovecot? Nach /var/log/dovecot oder zu syslog, also
> vermutlich nach /var/log/mail?

hier der betreffende Teil aus jail.local:

[dovecot]

enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = dovecot
logpath = /var/log/mail.log

Ab und zu werden auch Adressen gesperrt, allerdings für Postfix:

[postfix]

enabled = true
port = smtp,ssmtp,submission
filter = postfix
logpath = /var/log/mail.log

Dovecot loggt also nach /var/log/mail.log via syslog.

Gruß
Helmut

—
————————————————————————-
Helmut Lichtenberg Tel.: 05034/871-128
Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany
————————————————————————-

Hallo Helmut,

wie hast Du fail2ban denn dafür konfiguriert? Meine Version hat keinen
vorgegebenen Abschnitt für dovecot oder pop.

Wohin loggt dovecot? Nach /var/log/dovecot oder zu syslog, also
vermutlich nach /var/log/mail?

Gruß
Werner
—

…

>
> Kann ich davon ausgehen, dass dies ein Angriff ist? Die vielen verschiedenen
> IP-Adressen, z.T in sehr kurzen Zeitabständen, sprechen m.E. dafür.

Es sind die klassischen Anzeichen dafür, ja.

> Wenn dies so ist, kann/sollte ich etwas dagegen tun?
> fail2ban ist installiert, spricht hierauf aber nicht an.

Warum nicht? Hast Du keine Regel dafür erstellt?

p@rick

—
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein