Tutoriales Seguridad / octubre 18, 2023

Configura Fail2ban para evitar ataques SASL en Postfix

Postfix es uno de los servidores de correo más utilizados en el mundo debido a su robustez y flexibilidad. Sin embargo, como cualquier otro servicio en línea, no es inmune a los ataques. Uno de los ataques más comunes contra los servidores Postfix es el intento de autenticación SASL no autorizada. Estos ataques intentan adivinar contraseñas para enviar correos no deseados a través de tu servidor. Afortunadamente, puedes utilizar Fail2ban para ayudar a prevenir estos ataques. Aquí te mostramos cómo configurarlo.

Instalación de Fail2ban

Para poder realizar el tutorial correctamente, primero deberemos de tener Fail2ban en nuestro servidor. Para ello te dejo este otro tutorial que explica como hacerlo:

Proteger tu servidor con Fail2ban
Cualquier máquina, incluido nuestro VPS, conectado a Internet es un objetivo potencia para ataques maliciosos. Si bien es cierto, tener un cortafuegos bien configurado evitará muchos tipos de acceso ilegítimos.
_ voidNullDon T3rr0rZ0n3

Configurando Fail2ban para Postfix

Una vez que hayas instalado Fail2ban, puedes comenzar a configurarlo para Postfix. Lo primero será crear un filtro para Postfix. Crea un nuevo archivo en /etc/fail2ban/filter.d/postfix-sasl.conf y agrega lo siguiente:

[INCLUDES]
before = common.conf

[Definition]
_daemon = postfix/smtpd
failregex = ^%(__prefix_line)slost connection after AUTH from (.*)\[<HOST>\]$
            ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=smtp ruser=\S* rhost=<HOST>.*$
ignoreregex =

Este filtro buscará líneas en los logs que indiquen intentos fallidos de autenticación SASL en Postfix.

Luego tenemos que configurar las reglas de la jail. Edita o crea el archivo /etc/fail2ban/jail.local y agrega:

[postfix-sasl]
enabled  = true
port     = smtp,ssmtp,submission
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3
bantime  = 3600
findtime = 600
action   = iptables-multiport[name=postfix-sasl, port="smtp,ssmtp,submission", protocol=tcp]

Con esta configuración, Fail2ban monitoreará /var/log/mail.log buscando intentos fallidos de autenticación SASL. Si detecta 3 intentos fallidos dentro de un período de 10 minutos (600 segundos) desde la misma dirección IP, esa dirección será bloqueada por una hora (3600 segundos).

Para aplicar la configuración, procedemos a reiniciar el servicio:

systemctl restart fail2ban

Monitoreo y ajustes

Una vez que hayas configurado Fail2ban para proteger Postfix contra ataques SASL, es buena idea monitorear el archivo /var/log/fail2ban.log para verificar que todo funciona como se espera. También puedes ajustar los valores maxretry, bantime y findtime según las necesidades de tu servidor y el nivel de tráfico que esperes.

Conclusión

La seguridad es esencial cuando se administra un servidor, y más aún cuando se trata de un servidor de correo. Configurar Fail2ban para proteger tu servidor Postfix de intentos de autenticación SASL no autorizados es una medida preventiva que puede ahorrarte muchos problemas en el futuro. ¡No esperes a ser atacado para tomar medidas!

Haz que cada palabra cuente: tu donación nos inspira a seguir creando contenido. Accede al apartado de Donación para hacer tu aportación