OVH Community, votre nouvel espace communautaire.

aide fichier log


thildouille
02/04/2015, 15h38
ok merci
je mis plonge
captainadmin
02/04/2015, 15h11
Salut

Voici un tuto complet pour la mise en place d'un serveur de mail, tu vas y trouver tous les éléments pour ne plus avoir de problème
http://www.starbridge.org/spip/spip.php?article12

Bon courage
thildouille
02/04/2015, 14h31
voilà une evolution au niveau de /var/log/mail.log
Code:
Apr  2 15:22:26 ns333863 postfix/submission/smtpd[24379]: lost connection after UNKNOWN from unknown[113.185.6.71]
Apr  2 15:22:26 ns333863 postfix/submission/smtpd[24379]: disconnect from unknown[113.185.6.71]
j'ai depuis ce matin mis à true tous ce qui concerne les email dans jail.conf

Aussi ce matin en lisant mail.log, je voyais une adresse email crée sur le serveur qui était souvent dans les logs pour de l'envoie répété, alors que celle-ci n'est pas utilisé normalement. J'ai desactivé pour celle-ci l'envoi et la réception d'email

Voila merci d'avance si vous avez une idée de comment je peux stoppé ce trafic
thildouille
02/04/2015, 10h35
oui fail2ban catch bien les logs de /var/log/mail.log
moi j'ai mis syslog en premier car c'est ce fichier là que je regarde en 1er
Rizz
02/04/2015, 10h25
logpath = /var/log/mail.log
j'aurais besoin de vos lumières concernant mon fichier /var/log/syslog
j'ai pas de serveur de messagerie mais je pense que fail2ban aime bien avoir les bon log a analyser.

Tu pourrai au moins t'assurer qu'il catch bien les log et qu'il ban correctement. tu crois pas?
thildouille
02/04/2015, 10h06
merci pour le retour j'ai en effet bloqué l'ip, mais une nouvelle ce rajoute à chaque fois;
Une précision stp:
Tu peux aussi n'autoriser les connexions uniquement authentifiées et/ou avec du tls.
le tls est actif, mais comment n'autoriser que les connexions authentifiées?
merci d'avance
captainadmin
02/04/2015, 09h59
Bonjour,

A moins que tu connaisses du monde au Vietnam qui utilise ton service stmp, je te conseille de filtrer rapidement l'ip.
Tu peux aussi n'autoriser les connexions uniquement authentifiées et/ou avec du tls.
De manière plus simple, tu peux n'autoriser que certaines ip à se connecter à ton service smtp.
En plus c'est le port 587 qui est utilisé (submission), je me demande s'il faut pas ajouter smtps dans ta régle fail2ban

Bon courage
http://www.captainadmin.com
thildouille
02/04/2015, 09h50
Bonjour
merci pour ta réponse. J'ai cependant déjà fail2ban d'installé, voici mon jail.conf:

Code:
#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = true
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = /var/log/mail.log

[dovecot]

enabled = false
port    = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/mail.log
j'ai mis uniquement la partie des email.
sich
01/04/2015, 16h28
Si c'est toujours la même ip n'hésite pas à la blacklister.
Si tu as ça sur des ip différentes mets en place fail2ban.
thildouille
01/04/2015, 15h48
Bonjour,
j'aurais besoin de vos lumières concernant mon fichier /var/log/syslog
j'ai depuis ce matin ces entrées:
Code:
Apr  1 16:44:31 ns333863 postfix/submission/smtpd[14023]: lost connection after UNKNOWN from unknown[183.81.81.234]
Apr  1 16:44:31 ns333863 postfix/submission/smtpd[14023]: disconnect from unknown[183.81.81.234]
Apr  1 16:44:31 ns333863 postfix/submission/smtpd[6708]: connect from unknown[183.81.81.234]
Apr  1 16:44:33 ns333863 /usr/sbin/irqbalance: Load average increasing, re-enabling all cpus for irq balancing
Apr  1 16:44:34 ns333863 postfix/submission/smtpd[6708]: lost connection after UNKNOWN from unknown[183.81.81.234]
Apr  1 16:44:34 ns333863 postfix/submission/smtpd[6708]: disconnect from unknown[183.81.81.234]
Apr  1 16:44:35 ns333863 postfix/submission/smtpd[14023]: connect from unknown[183.81.81.234]
Apr  1 16:44:37 ns333863 postfix/submission/smtpd[14023]: lost connection after UNKNOWN from unknown[183.81.81.234]
Apr  1 16:44:37 ns333863 postfix/submission/smtpd[14023]: disconnect from unknown[183.81.81.234]
Apr  1 16:44:37 ns333863 postfix/submission/smtpd[6708]: connect from unknown[183.81.81.234]
quelqu'un pourrait m'aider à comprendre svp.
Merci d'avance