Я пытаюсь добавить failregex для Postfix, чтобы ловить системы, отправляющие неправильные команды аутентификации.
Если я получаю такую строку:
disconnect from unknown[ADDRESS] ehlo=1 auth=0/1 commands=1/2
Я ищу это auth=0/1 part и хотел бы, чтобы fail2ban это уловил. Я использую постфиксный фильтр по умолчанию и пытаюсь исправить его, и попытался добавить к нему следующее:
mdpr-failauth = disconnect
mdre-failauth = ^from .*[^[]\[<HOST>\] .*(auth=0/[0-9]+)+.*$
Кажется, это улавливает каждую линию отключения независимо от того, есть ли у меня auth=0/[0-9]+, auth=1, или нет auth линия там вообще. Что именно я здесь делаю неправильно?