J'ai essayé d'écrire une expression rationnelle pour fail2ban pour mon serveur de messagerie exim mais je n'arrive pas à trouver des correspondances. même sur le fichier journal rejeté.regex Fail2ban pour exim
Voici une ligne de mon exim_mainlog:
2014-09-18 16:34:30 dovecot_login authenticator failed for xx-xx-78-xx.dedicated.abac.net (User) [xx.xx.78.xx]:64298: 535 Incorrect authentication data (set_id=sexy)
2014-09-18 16:50:17 dovecot_login authenticator failed for (User) [xx.xx.xx.231]:9859: 535 Incorrect authentication data (set_id=evans)
2014-09-18 16:52:30 dovecot_login authenticator failed for (User) [xx.xx.16.128]:60350: 535 Incorrect authentication data (set_id=orange)
2014-09-18 17:10:19 dovecot_login authenticator failed for XXXX.onlinehome-server.com (User) [xx.xx.96.171]:52799: 535 Incorrect authentication data (set_id=matrix)
les mêmes entrées sont dans mon exim_rejectlog.
Voici le filtre que j'ai essayé sur les deux exim_mainlog et exim_reject connecte
failregex = \[<HOST>\]: 535 Incorrect authentication data
Mais je ne reçois pas de coups, même de ceux qui sont rejectlog
Lines: 257 lines, 0 ignored, 0 matched, 257 missed
Im pas très bon à regex et apprécierait toute aide pour garder ces spammeurs
Merci. A été une réponse rapide et il fonctionne maintenant parfaitement. Des conseils sur l'amélioration de mon regex ?? de la documentation ou du wiki? – user3778695
Ajout d'informations à la réponse avec le repit fail2ban git et le fichier exim.conf qui l'accompagne par défaut. –