Protéger dovecot avec Fail2ban

Dovecot est un serveur IMAP / POP3 pour Linux / Unix, il a donc une grande utilité dans les serveurs de mails et, est donc un service sensible par définition. Il convient donc de le protéger avec Fail2ban.

On considère que votre serveur sous Debian est fonctionnel et utilise Dovecot pour la gestion des mails. Autre point important, c'est que Fail2ban soit installé .

Dans les dernières distributions Linux Debian, le fichier dovecot-pop3imap.conf existe déjà dans le répertoire /etc/fail2ban/filter.d
Si ce n'est pas le cas, vous devez créer ce fichier avec le contenu ci-dessous :

dovecot-pop3imap.conf

[Definition]
failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*
ignoreregex =

Ensuite, il ne reste plus qu'à mettre en place la prise en charge du filtre par Fail2ban. Pour cela on ajoute dans le fichier /etc/fail2ban/jail.local le contenu suivant :

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,imap", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 10
findtime = 1200
bantime = 1200

Modifier le paramètre maxretry en fonction de vos besoins, c'est le nombre de tentative avant bannissement temporaire.

• Auteur : montuy337513
• Sources : dovecot.org