https://opennet.dev/openforum/vsluhforumID1/95039.html Всем привет.<br><br>- Сервер CentOs 6;<br><br>- Почтовый демон sendmail;<br><br>- Установлен Fail2ban для решения вопроса;<br><br>Причина вопроса: В почтовый лог /var/log/maillog сыпятся сообщения. Таких сообщений довольно много. Так как на сервере всего два почтовых ящика, понять не трудно что это спамер.<br><br>Sep 25 06:08:58 mobi-buy sendmail[31580]: r8P28wmM031580: &lt;buh@mobi-buy.ru&gt;... No such user here's<br><br>Sep 25 06:08:58 mobi-buy sendmail[31580]: r8P28wmM031580: &lt;buhg@mobi-buy.ru&gt;... No such user here's<br><br>Sep 25 06:08:58 mobi-buy sendmail[31580]: r8P28wmM031580: &lt;buhgalter@mobi-buy.ru&gt;... No such user here's<br><br>Sep 25 06:08:59 mobi-buy sendmail[31580]: r8P28wmM031580: from=&lt;aligncpql32@mail.ru&gt;, size=0, class=0, nrcpts=0, bodytype=8BITMIME, proto=ESMTP, daemon=MTA, relay=[202.179.18.74]<br><br>Сам вопрос: Интересует как можно записать ип адрес спамера в конце сообщения No such user here's - ип адрес спамера. <br><br>Возможно это можно осуществить в файле /etc/mail/virtusertable. Откуда собственно и выводится это сообщение - No https://opennet.dev/openforum/vsluhforumID1/95039.html#4 Sat, 09 Nov 2013 02:18:29 GMT Создал тему на гитхабе, в разделе issues программы Fail2ban. Насколько я понял фильтры программы Fail2ban пока еще не поддерживают регулярные выражения в несколько строк (multiline match - dotall). Cейчас они разрабатывают версию 0.9 в которой данная функция будет поддерживатся и вроде как они собираются включить туда такой фильтр для sendmail. <br><br>Если будут новости отпишусь тут.<br> https://opennet.dev/openforum/vsluhforumID1/95039.html#3 Wed, 06 Nov 2013 09:24:21 GMT Это снова я. Тестовик ))<br><br>Данную задачу пока так и не решил. Времени особо не было. Написал на почту в fail2ban - безответно. Но кое-что все таки есть. Может кому интересно. Я задал вопрос разработчикам sendmail, и вроде Andrzej Adam Filip, предложил какое-то решение. Но у меня пока оно не пашет :(<br><br>Кому интересно, вот ссылка на диалог: https://groups.google.com/forum/#!topic/comp.mail.sendmail/AO-sYCZ5nkk<br><br>Еще собираюсь написать на форум fail2ban, может там что-то подскажут.<br> https://opennet.dev/openforum/vsluhforumID1/95039.html#2 Mon, 30 Sep 2013 10:50:36 GMT <br>&gt; это сообщение - No such user here's. Ниже вырезка из файла. <br>&gt; Записать ип адрес спамера, чтобы fail2ban потом цеплял эти ип адреса и <br>&gt; банил. Возможно у кого то уже настроен бан, такого рода сообщений. <br><br>Готовых фильтров нет, подобную задачу можно решать склеивая обработку писем по uid, либо пробегая по логу с помощью крона, либо настроив правильно фильтр rsyslog -а. На выходе мы получим длинную строку вида:<br><br>r8P28wmM031580: from=&lt;aligncpql32@mail.ru&gt;, size=0, class=0, nrcpts=0, bodytype=8BITMIME, proto=ESMTP, daemon=MTA, relay=[202.179.18.74] r8P28wmM031580: &lt;buh@mobi-buy.ru&gt;... No such user here's r8P28wmM031580: &lt;buhg@mobi-buy.ru&gt;... No such user here's <br>Откуда можно выщемить айпишник и непотребства им творимые, что позволит натравить на это fail2ban<br><br>подобным образом отваживал спамеров от postfix-а<br> https://opennet.dev/openforum/vsluhforumID1/95039.html#1 Fri, 27 Sep 2013 06:48:37 GMT как подцепить ip адрес к сообщению, кроме как изменить код в исходниках, я не представляю.<br>в качестве решения можно использовать самописного lda, передавая ему в качестве агрумента<br>${client_address}, а уж он будет сам разбираться есть получатель или нет и писать соотв. <br>информацию в syslog.<br>