Что лучше - дропать или режектить?

Дропать конечно. Режект же во-первых, жрёт ресурсы, во-вторых, даёт понять, что ты живой и можно пытаться дальше.

Вот спасибо! Будем знать! :))
Единственное, опасаюсь, не получится ли при дропе атака типа наводнения, или sync, или еще какая-нибудь?

Использовать fail2ban с action через ipset.

fail2ban и так пыхтит вовсю, но он у меня банит только попытки засшашится, а мыльные боты все равно пролазят.

Ну ты внимательнее смотри, там и на попытки логина в почту есть. Там ващет дохрена фильтров и еще более дохрена экшенов.

мыльные боты все равно пролазят

Можно ж своё правило написать.

Общее правило, в общем, такое: то, что из внешней сети - хамски дропаем, то, что из внутренней - вежливо реджектим.

Точнее: ботов - дропаем клиентов - реджектим не важно из какой они сети.

Можно ж своё правило написать.

Где именно - в фаере или fail2ban?

Точнее: ботов - дропаем клиентов - реджектим не важно из какой они сети.

Где тут должна быть запятая?
А то получается :) -

Казнить нельзя помиловать! :))

дропаем клиентов :))

ботов - дропаем клиентов - реджектим

ботов - дропаем, клиентов - реджектим

Где именно - в фаере или fail2ban

В fail2ban.

Да я понял, кого дропаем, а кого режектим, просто прикалываюсь над запятой ;)

Хорошо, а чем выгоднее прописывать правила в fail2ban, чем в файере?

Где тут должна быть запятая?

А то получается :) - Там был перенос на следующую строку, но спасибо лоровскому форматировантю который его удалил.

Это да, без знания BB в ЛОР лучше не соваться :)

В fail2ban всё давно написано, надо только включить.

Хорошо, но пока не получил ответа на вопрос -

Хорошо, а чем выгоднее прописывать правила в fail2ban, чем в файере?

Догадываюсь, конечно, но лучше послушать знатоков ;)

Потому что ip постояно новые?

Ну да, они частенько меняются.
Кроме того, через какое-то некоторые из них, как это выразится - утихомируются, и их надо снова разбанивать.
В файере все это надо постоянно контролировать и перестраивать вручную, а fail2ban все это делает автоматически.
Правильны ли мои догадки? :)

Ну да, fail2ban для этого и создан. Парсить в реальном времени логи, применять меры и следить за сроком действия принятых мер. Кроме локальных действий, еще и с тем же CloudFlare работает через API. Удобно.

Не подскажите ли, как в этом fail2ban настроить защиту от этих самых email-ботов?

А то настроил только защиту от ssh-попыток залогиниться, и считал, что настроил всё :)

/etc/fail2ban/filter.d/

dovecot.conf postfix.conf exim.conf и прочие

И что нужно вписать в postfix.conf , чтобы отвадить спам-ботов?

Там у меня пока такое: или оно уже готово к работе?

# Fail2Ban filter for selected Postfix SMTP rejections
#
#
[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf

[Definition]

_daemon = postfix(-\w+)?/(?:submission/|smtps/)?smtp[ds]

failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
            ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 Client host rejected: cannot find your hostname, (\[\S*\]); from=<\S*> to=<\S+> proto=ESMTP helo=<\S*>$
            ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 : Helo command rejected: Host not found; from=<> to=<> proto=ESMTP helo= *$
            ^%(__prefix_line)sNOQUEUE: reject: EHLO from \S+\[<HOST>\]: 504 5\.5\.2 <\S+>: Helo command rejected: need fully-qualified hostname;
            ^%(__prefix_line)sNOQUEUE: reject: VRFY from \S+\[<HOST>\]: 550 5\.1\.1 .*$
            ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.1\.8 <\S*>: Sender address rejected: Domain not found; from=<\S*> to=<\S+> proto=ESMTP helo=<\S*>$
            ^%(__prefix_line)simproper command pipelining after \S+ from [^[]*\[<HOST>\]:?$

ignoreregex = 

[Init]

journalmatch = _SYSTEMD_UNIT=postfix.service

# Author: Cyril Jaquier

чем выгоднее прописывать правила в fail2ban, чем в файере

Тем что он динамически определяет кого банить. Но если хочется можно и руками сделать banip.

Любопытно, если этот fail2ban такой белый и пушистый, то почему он идет отдельно, а не встраивают его сразу в дистрибутивы?

Помниться, еще в древнейшей Вынь 2000 есть встроенная фича для настройки числа попыток залогиниться и времени «заморозки».

если этот fail2ban такой белый и пушистый, то почему он идет отдельно, а не встраивают его сразу в дистрибутивы?

Почему iptables идет отдельным пакетом, а брандмауэр в оффтопике встроенный? Почему openssh идет отдельным пакетом, а в оффтопике RDP встроенный?

И еще 100500 таких же аналогий... Я думаю ты понял к чему я веду, да?

Спасибо, я вспомнил и даже устыдился ;)
Как же я мог забыть, что Linux тем и хорош, что у него модульная архитектура!

Да, так что делать с этим дефолтовыми правилами?

failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
            ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 Client host rejected: cannot find your hostname, (\[\S*\]); from=<\S*> to=<\S+> proto=ESMTP helo=<\S*>$
            ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 : Helo command rejected: Host not found; from=<> to=<> proto=ESMTP helo= *$
            ^%(__prefix_line)sNOQUEUE: reject: EHLO from \S+\[<HOST>\]: 504 5\.5\.2 <\S+>: Helo command rejected: need fully-qualified hostname;
            ^%(__prefix_line)sNOQUEUE: reject: VRFY from \S+\[<HOST>\]: 550 5\.1\.1 .*$
            ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.1\.8 <\S*>: Sender address rejected: Domain not found; from=<\S*> to=<\S+> proto=ESMTP helo=<\S*>$
            ^%(__prefix_line)simproper command pipelining after \S+ from [^[]*\[<HOST>\]:?$

^%(__prefix_line)sdisconnect from \S+\[\]

то, что из внешней сети - хамски дропаем, то, что из внутренней - вежливо реджектим

Плюсую этого анонимуса.

Ок, но тогда возникает закономерный вопрос - drop, если он такой хороший, то почему бы всех не дропать?
Не вникая, «свои» или «чужие» ;)

натройки правил fail2ban для exim

Спасибо за ценный веник! :))

А что означает «Проверка failregex из exim_auth (filter.d):» ?

Для этой проверки нужно выполнить какую-то команду, или как?

почему бы всех не дропать?

Ну вперёд, чо. Но как ты будешь дебажить, если вдруг локальная почта (или релей) отвалится — это уже твоя головная боль.

Усё понял! :)

Если нет ошибки, значит всё хорошо (спам-боты обкакаются от радости, что их почта "доходит" на все адреса). Конечно, с локальной почтой ты увидишь в логе что письмо было дропнуто, но по какой причине — сиди, гадай. Даже если у тебя всё работает, это не даёт никаких гарантий что в один "прекрасный" день ничего не отвалится после обновления или ты вдруг не опечатаешься в поле To:.

Конечно, с локальной почтой ты увидишь в логе что письмо было дропнуто, но по какой причине — сиди, гадай.

Так а если у меня нет локальной почты? Поскольку у меня внешний почтовый сервер на белом IP.

нет локальной почты

внешний почтовый сервер

А между собой пользователи этого сервера переписываться не могут? Для MTA это локальная почта.

filter.d папка в директории fail2ban - там лежат правила фильтрации. В моём случае - exim_auth.

Для MTA это локальная почта.

Вот как? Любопытная классификация. Впрочем, логичная.
Спасибо!

filter.d папка в директории fail2ban - там лежат правила фильтрации. В моём случае - exim_auth.

Это я понял. Заинтересовало другое - слово «проверка».
Обычно этот термин предполагает какое-то действие. так что тут не понял.

Это я проверял там инструментом failregex (входит в fail2ban) свои логи в той теме и в квадратных скобках было кол-во найденных совпадений. Сейчас убрал это чтобы Вас не смущало. Вообщем забейте :)

Ну почему же, этот инструментарий интересен и полезен, пусть остается.
А случаем, подобных правил для Postfix у вас нет? ;)
Потому что на одних серверах у меня стоит Exim, на других Postfix

Извините - для себя делал а у меня exim.

suffix, спасибо вам большое за добрые советы! :)

targitaj
Народ, похоже, что среди множества всяческих мыльных опер на тему «защиты почтового сервера от mail-ботов с помощью fail2ban » мне удалось найти действительно полезную статью - конкретную и без размазывания соплей: Настройка fail2ban для защиты Postfix на Centos

Готов ее заюзать, но прежде просьба к знатокам fail2ban глянуть - нет ли в ней ошибок? Могли чисто случайно вкрасться.