kennt das jemand von euch? Seit Tagen sehe ich in den Logs von Dovecot, php-fmp und Netfilter dutzende Einträge wie dieser:
dovecot-mailcow-1 | Oct 1 11:19:47 a95a68f111e4 dovecot: auth-worker(79408): conn unix:auth-worker (pid=135,uid=401): auth-worker<25593>: lua(regetuc@meineDomain.de,185.255.47.190): Password mismatch (SHA1 of given password: 97375a)
Der Benutzer ist immer regetuc@meineDomain.de oder nur regetuc aber immer mit einer anderen IP-Adresse.
Info: Es gab nie einen Benutzer regetuc in innerhalb dieser Domain. Es ist also KEINE Adresse, die jemand in einem Impressum oder sonst wo gefunden haben kann. Ein reiner Fantasiename.
Hab jetzt einen System-Service gebaut, der die Docker Logs in eine Datei schreibt und mit grep nach dem Benutzer sucht:
[Unit]
Description=Mailcow Log Tail Service
After=docker.service
Requires=docker.service
[Service]
Type=simple
WorkingDirectory=/opt/mailcow-dockerized
ExecStart=/bin/bash -c "docker compose logs -f netfilter-mailcow dovecot-mailcow | grep --line-buffered regetuc >> /var/log/mailcow-log/mailcow-filter.log"
Restart=always
User=root
StandardOutput=null
StandardError=null
[Install]
WantedBy=multi-user.target
Dort schaut dann fail2ban rein und sperrt gleich beim ersten Versuch:
[DEFAULT]
allowipv6 = yes
findtime = 86400
bantime = 86400
banaction = iptables-multiport[blocktype=DROP]
banaction_allports = iptables-allports[blocktype=DROP]
[mailcow-regetuc]
enabled = true
filter = mc-mailcow-email1
protokoll = all
logpath = /var/log/mailcow-log/mailcow-filter.log
maxretry = 1
Pro Tag werden so bis zu 200 IP-Adressen geblockt. Ich verstehe nur nicht, was der Versuch mit immer derselben E-Mail-Adresse sein soll. Kann das jemand erklären?
Danke schon mal im Voraus!
Zusatzinfo: pro 24 Stunden werden etwa 200 - 300 IP-Adressen geblockt.