• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

2 Mailprg. & fail2 ban

Mowgly

New Member
Hallo
Ich habe einen Mail- und Webserver und ein Kollege hat 2 Mailprogramme Outlook und Thunderbird. Wenn er eine Zeitlang die Mails mit beiden Programmen abruft (IMAP) bekommt er eine Zeitüberschreitung. Dann schalte ich seine IP im Fail2ban frei und es läuft wieder.
Der Server wird mit Plesk verwaltet.
Ich habe mir die conf von Fail2ban angeschaut und ich muss sagen: Da steht nicht sehr viel drin, dass für mich diese Fehler erklärt.
Kann es evtl auch mit dem modsecurity zusammenhängen? Hat jemand schon mal so ein Phänomen gehabt?

Ich freue mich auf euere Antworten..

Vielen Dank im voraus
 
wenn's Fail2Ban ist sollte in den Logs stehen, warum es der Meinung ist, die IP blocken zu müssen.

modsecurity dürfte bei Imap keine Auswirkungen haben - solange ihr nicht irgendwelche ganz kruden MailProxyÜberApache-Geschichten am laufen habt.
 
Kommt darauf an wie deine Fail2Ban-Jails aussehen und wann die sperren. Das Fail2Ban-Log wird es dir bei der IP zeigen.
Und schau in die Logdateien für SMTP/IMAP/POP3 und finde bei der IP/Mailadresse raus warum es so viele Fehlversuche seitens des Mailclients gibt, sodass geblockt wird.
 
Das müssen keine Fehlversuche sein. Es gibt auch Anbieter, die gerne mal die IP blocken, wenn z.B. öfters als alle 5min ein IMAP-Sync gemacht wird...
 
Ich könnte mir vorstellen, dass das Limit der gleichzeitigen Verbindungen von der IP mit dem gleichen Username erreicht ist. Dann gibt es Einträge im Syslog, auf die Fail2Ban reagieren kann. Wenn dem so ist, gilt es abzuwägen, ob man das Limit im IMAP-Server erhöht (falls es sehr niedrig ist) oder evtl. auf die Fail2Ban-Jail verzichtet werden kann (oder sogar beides).
 
Wenn es nur der eine User ist könnte man, je nachdem ob/wie oft die IP wechselt, diese auch bei fail2ban auf die whitelist setzen.
 
Was fail2ban anbelangt, wenn da eine Regel im Jail zu hart reagiert, Sollte man die (also den regex) eher raus nehmen, anstatt Nutzer zu sperren.
Erfordert halt Erfahrung und Analyse.

In jedem Fall erst mal analysieren, was da los ist, denn kann ja sein, dass bei dem Nutzer Software randaliert, kaputte Login erzeugt oder scheinbar missbräuchliche Anfragen an den Mailserver macht.
 
Last edited:
Back
Top