Domyślna konfiguracja fail2ban’a (na Debianie) nie zawiera reguł pozwalających na blokowanie prób włamań na skrzynki POP/IMAP dla dovecota (no chyba że korzystamy z saslauthd). Można szybko utworzyć własny zestaw filtrów co przedstawię poniżej.
Tworzymy plik: /etc/fail2ban/filter.d/dovecot.conf
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*
ignoreregex =
Później dopisujemy na końcu pliku: /etc/fail2ban/jail.conf
[dovecot]
enabled = true
filter = dovecot
port = pop3,pop3s,imap,imaps
logpath = /var/log/mail.log
maxretry = 20
# te dwa poniżej wedle uznania - ja mam dobrze ustawione default'y
#findtime = 1200
#bantime = 1200
Zostało zrestartować fail2ban’a:
invoke-rc.d fail2ban restart
Tip na bazie dokumentacji: http://wiki.dovecot.org/HowTo/Fail2Ban