Всем привет.

- Сервер CentOs 6;

- Почтовый демон sendmail;

- Установлен Fail2ban для решения вопроса;

Причина вопроса: В почтовый лог /var/log/maillog сыпятся сообщения. Таких сообщений довольно много. Так как на сервере всего два почтовых ящика, понять не трудно что это спамер.

Sep 25 06:08:58 mobi-buy sendmail[31580]: r8P28wmM031580: <buh@mobi-buy.ru>... No such user here's

Sep 25 06:08:58 mobi-buy sendmail[31580]: r8P28wmM031580: <buhg@mobi-buy.ru>... No such user here's

Sep 25 06:08:58 mobi-buy sendmail[31580]: r8P28wmM031580: <buhgalter@mobi-buy.ru>... No such user here's

Sep 25 06:08:59 mobi-buy sendmail[31580]: r8P28wmM031580: from=<aligncpql32@mail.ru>, size=0, class=0, nrcpts=0, bodytype=8BITMIME, proto=ESMTP, daemon=MTA, relay=[202.179.18.74]

Сам вопрос: Интересует как можно записать ип адрес спамера в конце сообщения No such user here's - ип адрес спамера.

Возможно это можно осуществить в файле /etc/mail/virtusertable. Откуда собственно и выводится это сообщение - No such user here's. Ниже вырезка из файла.

# All the host names on the left hand side (foo.com, bar.com, and baz.org)
# must be in class {w} or class {VirtHost}. The latter can be defined by the
# macros VIRTUSER_DOMAIN or VIRTUSER_DOMAIN_FILE (analogously to
# MASQUERADE_DOMAIN and MASQUERADE_DOMAIN_FILE). If VIRTUSER_DOMAIN or
# VIRTUSER_DOMAIN_FILE is used, then the entries of class {VirtHost} are
# added to class {R}, i.e., relaying is allowed to (and from) those domains.
@domain<-->error:nouser No such user here's - ип адрес спамера

Записать ип адрес спамера, чтобы fail2ban потом цеплял эти ип адреса и банил. Возможно у кого то уже настроен бан, такого рода сообщений.

• Sendmail - No such user here's + Fail2ban - CentOs 6,Z0termaNN, 10:48 , 27-Сен-13
• Sendmail - No such user here's + Fail2ban - CentOs 6,Анонимный аноним, 14:50 , 30-Сен-13
  • Sendmail - No such user here's + Fail2ban - CentOs 6,TESTOVIK, 13:24 , 06-Ноя-13
    • Sendmail - No such user here's + Fail2ban - CentOs 6,TESTOVIK, 06:18 , 09-Ноя-13

как подцепить ip адрес к сообщению, кроме как изменить код в исходниках, я не представляю.
в качестве решения можно использовать самописного lda, передавая ему в качестве агрумента
${client_address}, а уж он будет сам разбираться есть получатель или нет и писать соотв.
информацию в syslog.

> это сообщение - No such user here's. Ниже вырезка из файла.
> Записать ип адрес спамера, чтобы fail2ban потом цеплял эти ип адреса и
> банил. Возможно у кого то уже настроен бан, такого рода сообщений.

Готовых фильтров нет, подобную задачу можно решать склеивая обработку писем по uid, либо пробегая по логу с помощью крона, либо настроив правильно фильтр rsyslog -а. На выходе мы получим длинную строку вида:

r8P28wmM031580: from=<aligncpql32@mail.ru>, size=0, class=0, nrcpts=0, bodytype=8BITMIME, proto=ESMTP, daemon=MTA, relay=[202.179.18.74] r8P28wmM031580: <buh@mobi-buy.ru>... No such user here's r8P28wmM031580: <buhg@mobi-buy.ru>... No such user here's
Откуда можно выщемить айпишник и непотребства им творимые, что позволит натравить на это fail2ban

подобным образом отваживал спамеров от postfix-а

Это снова я. Тестовик ))

Данную задачу пока так и не решил. Времени особо не было. Написал на почту в fail2ban - безответно. Но кое-что все таки есть. Может кому интересно. Я задал вопрос разработчикам sendmail, и вроде Andrzej Adam Filip, предложил какое-то решение. Но у меня пока оно не пашет :(

Кому интересно, вот ссылка на диалог: https://groups.google.com/forum/#!topic/comp.mail.sendmail/A...

Еще собираюсь написать на форум fail2ban, может там что-то подскажут.

Создал тему на гитхабе, в разделе issues программы Fail2ban. Насколько я понял фильтры программы Fail2ban пока еще не поддерживают регулярные выражения в несколько строк (multiline match - dotall). Cейчас они разрабатывают версию 0.9 в которой данная функция будет поддерживатся и вроде как они собираются включить туда такой фильтр для sendmail.

Если будут новости отпишусь тут.