Monitoren und Alarmierung von Brute-Force-Attacken auf SMTP SASL mit XYMON

Wer Mailserver betreibt, über die sensible Daten ausgetauscht werden, möchte bei Brute Force Attacken alarmiert werden. Hier eine kurze Beschreibung, wie man das mit XYMON einrichtet.

Postfix loggt über rsyslog. Auf einem Ubuntu-Server findet sich die rsyslog-Konfiguration in /etc/rsyslog.d/50-default.conf. Eine typische Filterung für rsyslog nach SASL in ein eigenes Logfile kann man so eintragen:

...
# postfix
:programname, isequal, "postfix" /var/log/postfix.log
:msg, contains, "SASL" /var/log/postfix-sasl.log
...

Danach ist ein restart des rsyslog-Dienstes nötig. Das neue Logfile /var/log/postfix-sasl.log sollte auch rotiert werden, dazu editiert man /etc/logrotate.d/rsyslog:

 ...
 /var/log/postfix-sasl.log {
     dateext
     maxage 10
     rotate 10
     daily
     missingok
     notifempty
     sharedscripts
     postrotate
     service rsyslog restart >/dev/null 2>&1 || true
     endscript
}
...

Auf dem zentralen Xymon-Server muss danach in /etc/xymon/analysis.cfg das Alarming eingerichtet werden:

...
HOST=mail.server.com
     UP      1h
     LOAD    10.0 20.0
     MEMPHYS 100 101
     MEMSWAP 50 80
     MEMACT  90 97
     DISK    * 90 95
     PORT "LOCAL=%([.:]25)$" state=LISTEN TEXT=postfix
     LOG /var/log/postfix-sasl.log %failed COLOR=YELLOW
...

Außerdem ist die Datei /etc/xymon/client-local.cfg zu editieren:

[mail.server.com]
...
log:/var/log/postfix-sasl.log:20480
...

Nach einem Restart des Xymon-Servers und des Xymon-Clients auf dem Mailserver sollte unter dem Tag msgs in der HTML-GUI des Servers nach einer Weile z.B. ein Eintrag No entries in /var/log/postfix-sasl.log erscheinen.

Ein Alarm würde etwa so aussehen:

Warnings in /var/log/postfix-sasl.log
yellow Apr 22 09:26:39 mail postfix/smtpd[23059]: warning: unknown[1.2.3.4]: SASL LOGIN   authentication failed: UGFzc3dvcmQ6