[Mimoza]

Salut,
En regardant les log de mon dovecot je m’aperçoi que Vilain passe a coté de tentatives qui me paraissent douteuses. J'ai quelques Kio des lignes suivantes

Code :

Apr 26 03:05:07 YYYYYYYY dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=208.100.26.XXX, lip=89.234.XXX.XXX, TLS handshaking: Disconnected, session=<cNuMhmSHJO7QZBrp>
Apr 26 03:05:07 YYYYYYY dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=208.100.26.XXX, lip=89.234.XXX.XXX, TLS handshaking: SSL_accept() syscall failed: Connection reset by peer, session=<Kg+NhmSHFu7QZBrp>
Apr 26 03:05:07 YYYYYYY dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=208.100.26.XXX, lip=89.234.XXX.XXX, TLS handshaking: SSL_accept() failed: error:140270C1:SSL routines:ACCEPT_SR_CLNT_HELLO_C:no shared cipher, session=<lGyNhmSHHu7QZBrp>

La regex de Vilain actuellement ne recherche que les authentifications erronées

Code :

regex = .*auth failed.*rip=([\S]+),.*

Du coup je me dit qu'il serait peut être intéressant d'ajouter une deuxième règle de ce type :

Code :

regex = .*no auth attempts in.*rip=([\S]+),.*

ou

Code :

regex = .*Disconnected \(no auth attempts in.*rip=([\S]+),.*

[PengouinBSD]

Bonsoir,
Je déplace le post car ceci n'a rien à voir avec une demande d'aide autour ou sur OpenBSD.

[prx]

Tu as testé cette regex?

Je suis bien sûr preneur de nouvelles regex, je n'ai pas pu couvrir tous les cas de figure !

[Mimoza]

@PengouinBSD : En effet je ne savais pas très bien ou mettre la question.

@Thuban : Je suis en train de la tester, pour ça je surveille la log. Ça semble fonctionner un peu trop bien j'ai réussi a me bannir tout seul X-D. Du coup je l'ai un peu affiné.

Code :

regex = .*no auth attempts in.*rip=([\S]+),.*failed.*

[prx]

L'auto-ban, c'est souvent un souci avec ce genre de softs.
N'hésite pas à mettre ton IP sur liste blanche si besoin dans la configuration.