Bonjour,
Merci Pierre pour ta réponse très précise, comme toujours, je vais
consulter les références indiquées.
NB : Je n'utilise pas Postfix/Dovecot, mais, cela doit pouvoir s'adapter
pour EXIM4.
A défaut, je vais tenter d'avancer avec Nftables avec les informations
qui ont été partagées pour bloquer cette plage IP.
Cordialement,
Bernard Bass
Le 30/09/2024 à 07:46, Pierre Malard a écrit :
Bonjour,
C’est une plaie récurrente mais tu peux avoir une aide via des listes
d’IP/réseaux connus comme sur :
* https://www.openbl.org/lists/all.txt
* https://lists.blocklist.de/lists/all.txt
* https://rules.emergingthreats.net/blockrules/compromised-ips.txt
* https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
* …
(liste non exhaustive)
Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un
service amazon sur un masque de réseau classe B (47.128.0.0/16) qu’il
faudrait blacklister. Il est vrai que ces gros fournisseurs d’accès
sont peu regardants sur ce que tu fais derrière… Mais il faut savoir
qu’il y a peut-être des bons dans ces mauvais.
Le principe c’est de concatérer les listes d’IP/Net de ces listes et
les bloquer via « ipset ». ce qui bloque ces IPs au dessus de Fail2Ban
en les bloquant définitivement.
Il y a aussi un petit Python très bien sur
https://github.com/egrisel/ban-them. Il tient une petite base de
données des IP à bloquer définitivement en se basant sur les récidives
enregistrée par Fail2Ban (seuil basé sur 10 par défaut). C’est très
bien sauf que maintenant les « pirates » sont plus malins en changeant
régulièrement d’IP…
Et/ou s’appuyer sur des sites de RBL
(https://www.dnsbl.info/dnsbl-list.php) en faisant référence à ces
sites dans ta configuration SMTP. Le bloc du Debugo
(https://blog.debugo.f) fourni une très bonne documentation sur la
façon de configurer une service Postfix/Dovecot et ça peux t’aider
(https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/)
Courage
--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France
Tél : +33 626 89 22 68
« /La vérité ne triomphe jamais, mais ses ennemis finissent/
/ toujours par mourir./.. »
Max Placnk (1858-1947)
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr
perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_):
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
