Fail2ban regex for exim

时间:2014-09-18 17:26:06

标签: regex exim fail2ban

我曾尝试为我的exim邮件服务器编写fail2ban的正则表达式,但我似乎无法获得任何匹配。甚至在被拒绝的日志文件上。

这是我的exim_mainlog中的一行:

2014-09-18 16:34:30 dovecot_login authenticator failed for xx-xx-78-xx.dedicated.abac.net (User) [xx.xx.78.xx]:64298: 535 Incorrect authentication data (set_id=sexy)
2014-09-18 16:50:17 dovecot_login authenticator failed for (User) [xx.xx.xx.231]:9859: 535 Incorrect authentication data (set_id=evans)
2014-09-18 16:52:30 dovecot_login authenticator failed for (User) [xx.xx.16.128]:60350: 535 Incorrect authentication data (set_id=orange)
2014-09-18 17:10:19 dovecot_login authenticator failed for XXXX.onlinehome-server.com (User) [xx.xx.96.171]:52799: 535 Incorrect authentication data (set_id=matrix)

相同的条目在我的exim_rejectlog中。

这是我在exim_mainlog和exim_reject日志

上尝试的过滤器
failregex = \[<HOST>\]: 535 Incorrect authentication data

但即使是拒绝日志中的内容,我也无法获得任何点击

Lines: 257 lines, 0 ignored, 0 matched, 257 missed

我不是很擅长正则表达式,并希望得到任何有助于阻止这些垃圾邮件发送者的帮助

1 个答案:

答案 0 :(得分:2)

您的服务器配置为也记录传入端口,而不仅仅是IP地址。更改正则表达式以容纳额外的字符:

failregex = \[<HOST>\]:\d+: 535 Incorrect authentication data

带有exim解析的官方发布版本(它现在处理端口,如果它存在)。 https://github.com/fail2ban/fail2ban/blob/master/config/filter.d/exim.conf