SkyMinds ~ by Matt | Page 167 | Formateur et Développeur WordPress

Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO

Mis à jour le 24 mars 2022 par Matt Biscay · Lecture: 2 minutes

Aujourd’hui, Jac m’envoie un message pour m’informer que sa redirection email ne fonctionne plus.

Je lance donc un terminal et vérifie les logs de Postfix, qui chargent des dizaines de lignes d’erreurs de ce type:

Dec 15 16:30:33 mail postfix/smtpd[5912]: connect from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102]
Dec 15 16:30:34 mail postfix/smtpd[5912]: lost connection after AUTH from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102]
Dec 15 16:30:34 mail postfix/smtpd[5912]: disconnect from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102]
Dec 15 16:30:34 mail postfix/smtpd[5908]: connect from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102]
Dec 15 16:30:34 mail postfix/smtpd[5908]: lost connection after AUTH from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102]
Dec 15 16:30:34 mail postfix/smtpd[5908]: disconnect from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102]

Comme vous pourvez le constater, ça débite et ça impacte forcément les ressources du système. Voyons donc comment nous pouvons y mettre un terme.

Pré-requis : fail2ban

Nous allons utiliser fail2ban, un compagnon très utile pour surveiller les logs et analyser les comportements néfastes à l’aide d’expressions régulières.

Je vous invite à relire le guide d’installation de fail2ban.

Nouvelle définition dans fail2ban : postfix-auth

Nous ajoutons donc une nouvelle définition, [postfix-auth], dans notre fichier jail.local:

nano /etc/fail2ban/jail.local

On l’ajoute à la fin des déclarations pour les serveurs mails :

[postfix-auth]
enabled     = true
filter      = postfix.auth
action      = iptables-multiport[name=postfix, port="http,https,smtp,submission,pop3,pop3s,imap,imaps,sieve", protocol=tcp]
#           sendmail[name=Postfix, dest=you@mail.com]
logpath     = /var/log/mail.logLangage du code : PHP (php)

Je désactive volontairement l’envoi des notifications, ce serait un comble.

Serveur dédié : réduire les connexions TIME_WAIT des sockets et optimiser TCP photo

Optimiser TCP sous Linux : bons réglages sysctl pour serveur web

Mis à jour le 2 juin 2026 par Matt Biscay · Lecture: 13 minutes

Optimiser TCP sur un serveur dédié peut améliorer la stabilité, la latence et la capacité à absorber beaucoup de connexions. Cependant, les vieux réglages copiés-collés depuis des forums de 2010 font souvent plus de dégâts qu’autre chose.

Le cas typique : un serveur web affiche beaucoup de connexions TIME_WAIT, puis quelqu’un recommande de réduire brutalement les timeouts, d’activer tcp_tw_recycle, de désactiver SACK, et de lancer sysctl -p avec la confiance d’un chat devant un aquarium.

Aujourd’hui, on va faire mieux : mesurer d’abord, comprendre les états TCP, éviter les options obsolètes, puis appliquer uniquement des réglages adaptés à un serveur web moderne sous Linux.

Monkey3 – Once We Were

Mis à jour le 7 mars 2024 par Matt Biscay · Lecture: 1 minute

Voici un deuxième extrait de l’album « The 5th Sun » du groupe de stoner suisse Monkey3 :

Toujours aussi lourd, martial, épique mais à la fois empreint de délicatesse et d’un côté presque aérien dans les breaks. C’est un vrai régal de se plonger dans leur univers.

Je n’ai pas encore pu les voir cette année… l’année prochaine peut-être?!

Articles suivants →