26-04-2019, 18:57:55
Salut,
En regardant les log de mon dovecot je m’aperçoi que Vilain passe a coté de tentatives qui me paraissent douteuses. J'ai quelques Kio des lignes suivantes
La regex de Vilain actuellement ne recherche que les authentifications erronées
Du coup je me dit qu'il serait peut être intéressant d'ajouter une deuxième règle de ce type :
ou
En regardant les log de mon dovecot je m’aperçoi que Vilain passe a coté de tentatives qui me paraissent douteuses. J'ai quelques Kio des lignes suivantes
Code :
Apr 26 03:05:07 YYYYYYYY dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=208.100.26.XXX, lip=89.234.XXX.XXX, TLS handshaking: Disconnected, session=<cNuMhmSHJO7QZBrp>
Apr 26 03:05:07 YYYYYYY dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=208.100.26.XXX, lip=89.234.XXX.XXX, TLS handshaking: SSL_accept() syscall failed: Connection reset by peer, session=<Kg+NhmSHFu7QZBrp>
Apr 26 03:05:07 YYYYYYY dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=208.100.26.XXX, lip=89.234.XXX.XXX, TLS handshaking: SSL_accept() failed: error:140270C1:SSL routines:ACCEPT_SR_CLNT_HELLO_C:no shared cipher, session=<lGyNhmSHHu7QZBrp>
La regex de Vilain actuellement ne recherche que les authentifications erronées
Code :
regex = .*auth failed.*rip=([\S]+),.*
Du coup je me dit qu'il serait peut être intéressant d'ajouter une deuxième règle de ce type :
Code :
regex = .*no auth attempts in.*rip=([\S]+),.*
Code :
regex = .*Disconnected \(no auth attempts in.*rip=([\S]+),.*
« La perfection est atteinte, non pas lorsqu'il n'y a plus rien à ajouter, mais lorsqu'il n'y a plus rien à retirer. » Antoine de Saint-Exupéry