Salut,
J’ai un petit souci avec dovecot 1.2 (squeeze), en testant je m’aperçois que je suis capable de produire des logs du genre :
dovecot: imap-login: Disconnected (auth failed, 24 attempts): user=<user@domain.com>, method=PLAIN, rip=1.2.3.4, lip=5.6.7.8, TLSLe problème est la partie “auth failed, 24 attempts” : en gros, dovecot permet un nombre d’essais de login illimité sur une même connexion IMAP ce qui rend fail2ban quasiment inutile (la ligne de log n’est écrite que lorsque le client se déconnecte de lui-même après avoir essayé autant de mots de passes qu’il veut).
J’ai cherché partout dans les logs, aucun signe des échecs d’authentification individuels. Le fait que j’utilise une base MySQL n’aide certainement pas à tracer ces échecs…
J’aimerais pouvoir inscrire une ligne dans le log pour chaque échec d’authentification, de préférence en laissant la connexion IMAP ouverte afin que le client puisse essayer plusieurs mots de passe à la suite sans avoir à se reconnecter, mais s’il faut forcer la déconnexion du client à chaque échec ça me convient aussi. Bref, n’importe quoi qui puisse permettre à fail2ban de mettre une limite infranchissable sur le nombre d’essais de mot de passe.
Et, non, je ne considère pas que le délai après un échec d’authentification soit une mesure de sécurité suffisante quand un attaquant suffisamment têtu peut insister aussi longtemps qu’il veut sans aucune trace dans les logs tant qu’il ne se déconnecte pas de lui-même (parano, moi ? nooooon… 
).
Bien évidemment je n’ai rien trouvé dans la documentation dovecot ou sur internet, sinon c’est pas drôle.
Une idée ? 
