2014-09-18 3 views
0

Я попытался написать регулярное выражение для fail2ban для моего exim почтового сервера, но я не могу получить никаких совпадений. даже в отложенном лог-файле.Fail2ban regex for exim

Вот строчка из моего exim_mainlog:

2014-09-18 16:34:30 dovecot_login authenticator failed for xx-xx-78-xx.dedicated.abac.net (User) [xx.xx.78.xx]:64298: 535 Incorrect authentication data (set_id=sexy) 
2014-09-18 16:50:17 dovecot_login authenticator failed for (User) [xx.xx.xx.231]:9859: 535 Incorrect authentication data (set_id=evans) 
2014-09-18 16:52:30 dovecot_login authenticator failed for (User) [xx.xx.16.128]:60350: 535 Incorrect authentication data (set_id=orange) 
2014-09-18 17:10:19 dovecot_login authenticator failed for XXXX.onlinehome-server.com (User) [xx.xx.96.171]:52799: 535 Incorrect authentication data (set_id=matrix) 

одни и те же записи в моем exim_rejectlog.

Вот фильтр я примерил как exim_mainlog и exim_reject войти

failregex = \[<HOST>\]: 535 Incorrect authentication data 

Но я не получаю хитов даже от тех, которые находятся в rejectlog

Lines: 257 lines, 0 ignored, 0 matched, 257 missed 

Im не очень хорошо подходит для регулярных выражений и будет признателен за любую помощь, чтобы сохранить этих спамеров.

ответ

1

Ваш сервер настроен также для регистрации входящего порта, а не только для ip-адреса. Измените регулярное выражение для размещения дополнительных символов:

failregex = \[<HOST>\]:\d+: 535 Incorrect authentication data 

Официальных выпустила версию с Exim разбор (обратите внимание, что он не принимает во внимание порта либо). https://github.com/fail2ban/fail2ban/blob/master/config/filter.d/exim.conf

+0

Спасибо. Был быстрый ответ, и теперь он работает отлично. Любые подсказки по улучшению моего регулярного выражения? некоторые документы или вики? – user3778695

+0

Добавлена ​​информация к ответу с fail2ban git repo и exim.conf, который поставляется с ним по умолчанию. –