Bonjour, J’avais réagit trop vite en lisant « mail », désolé. Il s’agissait d’Apache qui était touché.
Ceci étant, Fail2Ban est une très bonne solution pour tous les services ouverts. La limite à 2 ou 3 récidives est paramétrable selon le service. Le principe de Fail2Ban est d’y aller petit à petit : 3 récidives : blocage de 15 mn 3 nouvelles après la levée du blocage : blocage 30 mn Et ainsi de suite… Pour ceux qui insistent la solution « ban-them » qui est définitive sur un IP fonctionne bien mais, à mon sens, ne suffit pas pour ceux qui insistent. On a alors la possibilité d’utiliser les serveurs de black lists, RBL ou DSNBL et une liste personnelle pour exclure ces mauvais joueurs. Mais il est préférable de le faire « à la racine » sur toute nouvelle connexion sur le service. Il existe des logiciels vendus pour ça mais le principe était exposé dans ma réponse. A+ > Le 30 sept. 2024 à 11:24, Bernard Bass <bernard.b...@visionduweb.com> a écrit > : > > Bonjour, > > Merci Pierre pour ta réponse très précise, comme toujours, je vais consulter > les références indiquées. > > NB : Je n'utilise pas Postfix/Dovecot, mais, cela doit pouvoir s'adapter pour > EXIM4. > > A défaut, je vais tenter d'avancer avec Nftables avec les informations qui > ont été partagées pour bloquer cette plage IP. > > Cordialement, > > Bernard Bass > > > Le 30/09/2024 à 07:46, Pierre Malard a écrit : >> Bonjour, >> >> C’est une plaie récurrente mais tu peux avoir une aide via des listes >> d’IP/réseaux connus comme sur : >> https://www.openbl.org/lists/all.txt <https://www.openbl.org/lists/all.txt> >> https://lists.blocklist.de/lists/all.txt >> <https://lists.blocklist.de/lists/all.txt> >> https://rules.emergingthreats.net/blockrules/compromised-ips.txt >> <https://rules.emergingthreats.net/blockrules/compromised-ips.txt> >> https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt >> <https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt> >> … >> (liste non exhaustive) >> >> Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un service >> amazon sur un masque de réseau classe B (47.128.0.0/16) qu’il faudrait >> blacklister. Il est vrai que ces gros fournisseurs d’accès sont peu >> regardants sur ce que tu fais derrière… Mais il faut savoir qu’il y a >> peut-être des bons dans ces mauvais. >> >> Le principe c’est de concatérer les listes d’IP/Net de ces listes et les >> bloquer via « ipset ». ce qui bloque ces IPs au dessus de Fail2Ban en les >> bloquant définitivement. >> >> Il y a aussi un petit Python très bien sur >> https://github.com/egrisel/ban-them <https://github.com/egrisel/ban-them>. >> Il tient une petite base de données des IP à bloquer définitivement en se >> basant sur les récidives enregistrée par Fail2Ban (seuil basé sur 10 par >> défaut). C’est très bien sauf que maintenant les « pirates » sont plus >> malins en changeant régulièrement d’IP… >> >> Et/ou s’appuyer sur des sites de RBL (https://www.dnsbl.info/dnsbl-list.php >> <https://www.dnsbl.info/dnsbl-list.php>) en faisant référence à ces sites >> dans ta configuration SMTP. Le bloc du Debugo (https://blog.debugo.f >> <https://blog.debugo.f/>) fourni une très bonne documentation sur la façon >> de configurer une service Postfix/Dovecot et ça peux t’aider >> (https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/ >> >> <https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/>) >> >> Courage >> >> >> -- >> Pierre Malard >> >> « La vérité ne triomphe jamais, mais ses ennemis finissent >> toujours par mourir... » >> Max Placnk (1858-1947) >> |\ _,,,---,,_ >> /,`.-'`' -. ;-;;,_ >> |,4- ) )-,_. ,\ ( `'-' >> '---''(_/--' `-'\_) πr >> >> perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. >> ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): >> 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' >> - --> Ce message n’engage que son auteur <-- >> -- Pierre Malard Responsable architectures système CDS DINAMIS/THEIA Montpellier IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra Maison de la Télédétection 500 rue Jean-François Breton 34093 Montpellier Cx 5 France Tél : +33 626 89 22 68 « Tous les Français ambitionnent pour la France un grand rôle dans le monde. Ce n'est point par des aventures guerrières qu'elle le trouvera, c'est en donnant aux peuples l'exemple et le signal de justice. » Jean Jaures - "L'idéal de justice" - 1889 |\ _,,,---,,_ /,`.-'`' -. ;-;;,_ |,4- ) )-,_. ,\ ( `'-' '---''(_/--' `-'\_) πr perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' - --> Ce message n’engage que son auteur <--
signature.asc
Description: Message signed with OpenPGP
