حماية خادم البريد باستخدام Fail2ban

  أمن المعلومات, خوادم البريد الإلكتروني
Fail2ban حماية خادم البريد أمان البريد الإلكتروني دليل إعداد Fail2ban

يُعد تأمين خادم البريد أمرًا بالغ الأهمية في العالم الرقمي الحديث، حيث أصبحت هجمات القوة الغاشمة واستغلال البريد العشوائي تهديدات دائمة. Fail2ban هو أداة مفتوحة المصدر قوية تساعد في حماية الخادم الخاص بك من الأنشطة الخبيثة عن طريق حظر عناوين IP المشبوهة ديناميكيًا. يقدم هذا الدليل شرحًا شاملاً ومفصلاً خطوة بخطوة حول إعداد Fail2ban لحماية خادم البريد، مما يضمن أمانًا معززًا للبريد الإلكتروني.

ما هو Fail2ban ولماذا يُستخدم لخوادم البريد؟

Fail2ban هو برنامج لمنع التسلل يراقب السجلات لرصد الأنشطة المشبوهة ويحظر عناوين IP المخالفة باستخدام قواعد الجدار الناري. يُعد مفيدًا بشكل خاص لخوادم البريد لأنه:

  • يمنع هجمات القوة الغاشمة: يراقب محاولات تسجيل الدخول الفاشلة ويحظر عناوين IP بعد الوصول إلى حد معين.
  • يقلل من البريد العشوائي: يعمل مع Postfix وDovecot لتصفية عناوين IP المسيئة التي تحاول استغلال الخادم الخاص بك.
  • مرونة في الإعداد: يسمح بتعريف جدران مخصصة (Jails) والتكامل مع خدمات مختلفة.

من خلال إعداد Fail2ban، يمكنك تعزيز قدرة خادم البريد الخاص بك على مواجهة الهجمات، وحماية الاتصالات الحساسة.

المتطلبات الأساسية لإعداد Fail2ban

قبل البدء في التثبيت، تأكد من توافر المتطلبات التالية:

  1. خادم Linux: يدعم Fail2ban التوزيعات مثل Ubuntu وDebian وCentOS.
  2. امتيازات Root أو Sudo: مطلوبة لتثبيت Fail2ban وإعداده.
  3. مكونات خادم البريد: تأكد من تثبيت Postfix وDovecot وتشغيلهما بشكل صحيح.
  4. إعداد جدار ناري: تأكد من أن جدار ناري مثل ufw أو iptables نشط للسماح لـ Fail2ban بإدارة القواعد.

تثبيت Fail2ban على الخادم

لبدء العملية، قم بتثبيت Fail2ban من مستودع الحزم الافتراضي الخاص بتوزيعتك.

للحصول على دليل تثبيت أكثر تفصيلاً اتبع هذا الدليل على كيفية تثبيت وتكوين Fail2ban

على Ubuntu أو Debian

قم بتنفيذ الأمر التالي لتحديث المستودعات وتثبيت Fail2ban:

$ sudo apt update
$ sudo apt install fail2ban -y

على CentOS أو RHEL

قم بتفعيل مستودع EPEL وتثبيت Fail2ban:

$ sudo yum install epel-release -y
$ sudo yum install fail2ban -y

تأكد من التثبيت

تحقق مما إذا كان Fail2ban قد تم تثبيته بشكل صحيح:

$ fail2ban-client --version

سيعرض هذا الأمر رقم الإصدار، مما يؤكد أن الأداة جاهزة للإعداد.

تهيئة الإعدادات الافتراضية لـ Fail2ban

توجد ملفات إعدادات Fail2ban في المجلد /etc/fail2ban. لتجنب تعديل الملف الافتراضي jail.conf مباشرةً، قم بإنشاء ملف تجاوز محلي.

إنشاء ملف إعدادات محلي

انسخ الملف الافتراضي:

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

سيتم استخدام الملف jail.local لتجاوز الإعدادات الافتراضية وسيظل ثابتًا أثناء التحديثات.

حماية خدمات خادم البريد باستخدام Fail2ban

حماية Postfix

Postfix هو وكيل نقل بريد (MTA) شائع. يقوم Fail2ban بحمايته من خلال مراقبة سجلاته.

إعداد Jail الخاص بـ Postfix

افتح الملف jail.local:

$ sudo nano /etc/fail2ban/jail.local

أضف التكوين التالي لحماية Postfix:

[postfix]
enabled = true
port = smtp,465,submission
filter = postfix
logpath = /var/log/mail.log
maxretry = 5
  • enabled: يُفعّل الجدار.
  • port: يحدد المنافذ المستخدمة بواسطة Postfix (SMTP، SMTPS، وSubmission).
  • filter: يحدد فلتر Fail2ban (postfix.conf) المراد استخدامه.
  • logpath: يشير إلى ملف سجل Postfix.
  • maxretry: يحظر عنوان IP بعد 5 محاولات فاشلة.

اختبار سجلات Postfix

تأكد من وجود سجلات Postfix في المسار /var/log/mail.log:

$ sudo tail -f /var/log/mail.log

حماية Dovecot

Dovecot يدير تسليم البريد الإلكتروني. قد تؤدي الإعدادات الخاطئة أو محاولات القوة الغاشمة إلى اختراق أمانه.

إعداد Jail الخاص بـ Dovecot

في الملف jail.local، أضف القسم الخاص بـ Dovecot:

[dovecot]
enabled = true
port = pop3,pop3s,imap,imaps
filter = dovecot
logpath = /var/log/mail.log
maxretry = 5
  • port: يحمي بروتوكولات POP3، POP3S، IMAP، وIMAPS.
  • filter: يستخدم فلتر Dovecot لرصد تسجيلات الدخول الفاشلة.

التحقق من سجلات Dovecot

تأكد من كتابة السجلات في /var/log/mail.log:

$ sudo tail -f /var/log/mail.log

إنشاء فلاتر مخصصة

يستخدم Fail2ban تعريفات الفلاتر في المجلد /etc/fail2ban/filter.d/ لاكتشاف أنماط معينة في السجلات. يمكنك تخصيص هذه الفلاتر لتحقيق حماية إضافية.

إنشاء فلتر مخصص

لإضافة قواعد أكثر صرامة لـ Postfix، أنشئ ملف فلتر جديد:

$ sudo nano /etc/fail2ban/filter.d/custom-postfix.conf

أضف قواعد regex للأنشطة المشبوهة:

[Definition]
failregex = warning: .*: SASL authentication failed: .*$
ignoreregex =
  • failregex: يطابق أنماط فشل المصادقة.
  • ignoreregex: يحدد الأنماط التي يجب تجاهلها.

تمكين وتشغيل Fail2ban

قم بتمكين Fail2ban ليعمل تلقائيًا عند بدء تشغيل النظام:

$ sudo systemctl enable fail2ban

ابدأ الخدمة:

$ sudo systemctl start fail2ban

اختبار إعداد Fail2ban

يساعد الاختبار في التأكد من أن Fail2ban يعمل كما هو متوقع.

التحقق من الجدران النشطة

عرض قائمة بالجدران النشطة:

$ sudo fail2ban-client status

يعرض هذا الأمر الجدران المفعلة وتفاصيلها.

محاكاة محاولة تسجيل دخول فاشلة

حاول تسجيل الدخول باستخدام بيانات اعتماد خاطئة عدة مرات، ثم تحقق مما إذا تم حظر عنوان IP:

$ sudo fail2ban-client status postfix

مراقبة سجلات Fail2ban

يحافظ Fail2ban على سجلات تتبع لعناوين IP المحظورة ونشاط الخدمات.

عرض سجلات Fail2ban:

$ sudo tail -f /var/log/fail2ban.log

ضبط إعدادات Fail2ban

قم بتعديل الإعدادات لتحسين الأداء:

  • مدة الحظر: حدد المدة التي يظل فيها عنوان IP محظورًا:
bantime = 3600
  • مدة المراقبة: حدد الفترة الزمنية التي تُحسب خلالها المحاولات الفاشلة:
findtime = 600

الخلاصة

يُعد إعداد Fail2ban لحماية خادم البريد خطوة أساسية لحماية بنية البريد الإلكتروني لديك من الهجمات. من خلال اتباع هذا الدليل، قمت بتكوين Fail2ban لحماية Postfix وDovecot، وإنشاء فلاتر مخصصة، واختبار وظائفه. مع هذا الإعداد، يصبح خادم البريد الخاص بك مستعدًا بشكل أفضل للتعامل مع محاولات الوصول غير المصرح بها، مما يضمن اتصالات آمنة وغير منقطعة.

الأسئلة الشائعة

كيف يحمي Fail2ban خوادم البريد؟
يراقب Fail2ban سجلات خادم البريد لرصد الأنشطة المشبوهة، مثل محاولات تسجيل الدخول المتكررة الفاشلة، ويحظر عناوين IP المخالفة باستخدام قواعد الجدار الناري.

ما هي الخدمات الشائعة التي يحميها Fail2ban؟
يُستخدم Fail2ban بشكل شائع لحماية SSH وPostfix وDovecot وApache وNginx.

هل يمكنني تخصيص فلاتر Fail2ban؟
نعم، يسمح Fail2ban بإنشاء فلاتر regex مخصصة لمطابقة أنماط معينة في السجلات، مما يعزز الأمان.

كيف يمكنني إلغاء حظر عنوان IP محظور بواسطة Fail2ban؟
استخدم الأمر التالي:

$ sudo fail2ban-client unban IP_ADDRESS

هل يُعد Fail2ban بديلاً عن الجدار الناري؟
لا، يكمل Fail2ban عمل الجدار الناري من خلال تحديث قواعده ديناميكيًا بناءً على السلوكيات المشبوهة.

هل Fail2ban خفيف على الموارد؟
نعم، يُعد Fail2ban فعالًا ويستهلك موارد قليلة، مما يجعله مناسبًا لمعظم الخوادم.- دليل إعداد Postfix: https://www.postfix.org/documentation.html

LEAVE A COMMENT