Am 29.09.2013 13:22, schrieb André Loos via postfix-users: > Hallo Miteinander, > > ich habe auf meinem Mailserver (Postfix) das bekannte fail2ban installiert. > Gibt es eine Möglichkeit die fail2ban Benachrichtigung so zu gestalten, dass > mir ersichtlich ist, mit welchem Konto das Login (pop3/imap/sasl) > gescheitert ist? > Das Logging des Daemons müsste natürlich den fehlgeschlagene Versuch mit dem > benutzen Login erfassen. Ist das z.B. über den Loglevel steuerbar? > Was müsste oder kann ich tun, um hier genauere Informationen zu erhalten? > Ich verspreche mir davon, zeitnah zu sehen, auf welche Domain oder auf > welches Konto eine inszenierte Attacke es gerade abgesehen hat. > Ich hatte kürzlich den Fall, dass die Login-Daten eines Benutzers, > vermutlich über einen längeren Zeitraum, erfolgreich von Angreifern getestet > wurden und wie zu erwarten zum Versenden von Spam benutzt wurden. > Im mail.log finde ich derzeit bei einem gescheiterten Login keine genaueren > Angaben zu den benutzten Logindaten. Wohl aber bei einem erfolgreichen > Login. > > Euch vielen Dank für Tipps, Ideen oder andere Strategien ... > > André Loos > > _______________________________________________ > postfix-users mailing list > [email protected] > http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users >
gugg mal http://sys4.de/de/blog/2012/12/28/botnets-mit-rsyslog-und-iptables-recent-modul-abwehren/ http://sys4.de/de/blog/2013/04/17/monitoren-und-alarmierung-von-brute-force-attacken-auf-smtp-sasl-mit-xymon/ bringt dich evtl auf weitere Ideen Best Regards MfG Robert Schetterer -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein _______________________________________________ postfix-users mailing list [email protected] http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
