[ZIMBRA] Protegernos contra ataques DoS postfix AUTH

En un cliente tuvimos problemas ataques varios contra el servidor de correo Zimbra, aparte de problemas por weak passwords (decisiones gerenciales) y la costumbre de poner «123456» y «qwaszx12» que se rompen por diccionario fácilmente.

Luego de que tomaran conciencia de esto y mejorar mucho el manejo de claves igualmente seguimos sufriendo ataques constantes.

Usamos entre otras cosas fail2ban junto a zimbra desde hace algún tiempo ( [ZIMBRA] ENFRENTANDO EL SPAM CON FAIL2BAN )

Ultimamente aumentaron los ataques contra postfix y las reglas del fail2ban que usabamos no las filtraban

En el log se los ve así :

Apr 6 06:30:49 mail postfix/smtpd[00000]: connect from unknown[151.237.190.118]
Apr 6 06:30:49 mail postfix/smtpd[00000]: lost connection after AUTH from unknown[151.237.190.118]

Así que creamos las siguientes reglas en el fail2ban

1: Agregar esto al final de /etc/fail2ban/jail.local

[zimbra-auth-dos]
enabled = true
filter = zimbra-auth-dos
action =iptables-allports[name=Zimbra-auth-DoS]
logpath = /var/log/zimbra.log
ban= 600
retry=5

2: Crear el filtro /etc/fail2ban/filter.d/zimbra-auth-dos.conf

[Definition]
failregex = lost connection after AUTH from (.*)\[<HOST>\]
ignoreregex =

3: Reiniciar fail2ban y luego de 5 intentos los bloqueamos por 600s