En un cliente tuvimos problemas ataques varios contra el servidor de correo Zimbra, aparte de problemas por weak passwords (decisiones gerenciales) y la costumbre de poner «123456» y «qwaszx12» que se rompen por diccionario fácilmente.
Luego de que tomaran conciencia de esto y mejorar mucho el manejo de claves igualmente seguimos sufriendo ataques constantes.
Usamos entre otras cosas fail2ban junto a zimbra desde hace algún tiempo ( [ZIMBRA] ENFRENTANDO EL SPAM CON FAIL2BAN )
Ultimamente aumentaron los ataques contra postfix y las reglas del fail2ban que usabamos no las filtraban
En el log se los ve así :
Apr 6 06:30:49 mail postfix/smtpd[00000]: connect from unknown[151.237.190.118] Apr 6 06:30:49 mail postfix/smtpd[00000]: lost connection after AUTH from unknown[151.237.190.118]
Así que creamos las siguientes reglas en el fail2ban
1: Agregar esto al final de /etc/fail2ban/jail.local
[zimbra-auth-dos] enabled = true filter = zimbra-auth-dos action =iptables-allports[name=Zimbra-auth-DoS] logpath = /var/log/zimbra.log ban= 600 retry=5
2: Crear el filtro /etc/fail2ban/filter.d/zimbra-auth-dos.conf
[Definition] failregex = lost connection after AUTH from (.*)\[<HOST>\] ignoreregex =
3: Reiniciar fail2ban y luego de 5 intentos los bloqueamos por 600s
