Recebo uma tonelada de tentativas de login SMTP com falha. Eu realmente gostaria de me defender disso, mas o registro dessas tentativas é ruim.
Estou usando o sendmail 8.15, cyrus-sasl 2.1.26. A configuração do SASL é a maneira mais simples, padronizada, autenticando com pam_unix.
Recebo muitas mensagens de log como esta:
saslauthd[8292]: pam_unix(smtp:auth): check pass; user unknown
saslauthd[8292]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
saslauthd[8292]: DEBUG: auth_pam: pam_authenticate failed: Authentication failure
saslauthd[8292]: do_auth : auth failure: [user=colby] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Isso significa que, embora eu saiba que tentativas falsas de login estão acontecendo, não posso fazer nada a respeito, como fazer com que o fail2ban as aprisione.
Eu realmente não posso dizer se o problema é que o Sendmail está dizendo coisas ao pam_unix, e está despejando-as, ou se o sendmail não está dizendo ao pam sobre onde a tentativa está sendo feita.
O que eu quero é que as tentativas de autenticação sejam registradas com o endereço IP de onde veio, então se houver muitas falhas, o fail2ban pode prender o IP.