regex Fail2ban pour exim

Question

J'ai essayé d'écrire une expression rationnelle pour fail2ban pour mon serveur de messagerie exim mais je n'arrive pas à trouver des correspondances. même sur le fichier journal rejeté.

Voici une ligne de mon exim_mainlog:

2014-09-18 16:34:30 dovecot_login authenticator failed for xx-xx-78-xx.dedicated.abac.net (User) [xx.xx.78.xx]:64298: 535 Incorrect authentication data (set_id=sexy) 
2014-09-18 16:50:17 dovecot_login authenticator failed for (User) [xx.xx.xx.231]:9859: 535 Incorrect authentication data (set_id=evans) 
2014-09-18 16:52:30 dovecot_login authenticator failed for (User) [xx.xx.16.128]:60350: 535 Incorrect authentication data (set_id=orange) 
2014-09-18 17:10:19 dovecot_login authenticator failed for XXXX.onlinehome-server.com (User) [xx.xx.96.171]:52799: 535 Incorrect authentication data (set_id=matrix) 

les mêmes entrées sont dans mon exim_rejectlog.

Voici le filtre que j'ai essayé sur les deux exim_mainlog et exim_reject connecte

failregex = \[<HOST>\]: 535 Incorrect authentication data 

Mais je ne reçois pas de coups, même de ceux qui sont rejectlog

Lines: 257 lines, 0 ignored, 0 matched, 257 missed 

Im pas très bon à regex et apprécierait toute aide pour garder ces spammeurs

Answer 1

Votre serveur est configuré pour enregistrer également le port entrant, pas seulement l'adresse IP. Changez votre regex pour tenir compte des caractères supplémentaires:

failregex = \[<HOST>\]:\d+: 535 Incorrect authentication data 

officiel a publié la version avec l'analyse syntaxique Exim (notez qu'il ne tient pas compte du port non plus). https://github.com/fail2ban/fail2ban/blob/master/config/filter.d/exim.conf