[postfix-users] Spam über reguläre Mailkonten

Thomas Krause via postfix-users postfix-users at de.postfix.org
Mo Okt 14 22:38:00 CEST 2013


Hallo Patick,
mir fällt dazu nur folgende Logik ein (wie man die aber
programmiermäßig umsetzen soll ...):

wenn ein user sich innerhalb einer kurzen Zeitspanne von unterschiedlichen
IP's erfolgreich authentifiziert, muss es sich um einen ausspionierten
Account handeln. Dieser wäre dann zu sperren:

grep accountname  maillog.1 | grep sasl_username | awk '{ print $3 " " 
$7 }' | tail -15

23:53:28 client=unknown[178.151.35.45],
23:53:32 client=unknown[37.115.176.79],
23:53:40 client=111-253-98-238.dynamic.hinet.net[111.253.98.238],
23:54:38 client=unknown[151.0.18.13],
23:55:08 client=113x37x209x166.ap113.ftth.ucom.ne.jp[113.37.209.166],
23:55:09 client=unknown[188.231.178.208],
23:55:11 client=unknown[109.72.118.241],
23:56:18 client=ip-89-102-193-16.net.upcbroadband.cz[89.102.193.16],
23:56:42 client=pool-109-191-26-58.is74.ru[109.191.26.58],
23:57:02 client=unknown[31.192.57.151],
23:58:05 client=111-253-98-238.dynamic.hinet.net[111.253.98.238],
23:59:08 client=unknown[151.0.18.13],
23:59:21 client=unknown[109.160.120.112],
23:59:29 client=unknown[95.179.17.5],
23:59:56 client=unknown[178.172.196.39],

und das passiert mir leider nicht zum ersten Mal.

Grüße,
Thomas.


Am 14.10.2013 10:28, schrieb Patrick Ben Koetter via postfix-users:
> Hallo Thomas,
>
> * Thomas Krause via postfix-users <toaster at chef-ingenieur.de>:
>> in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre
>> Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort
>> ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem
>> Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden
>> ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam-
>> Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf.
>> Was kann ich dagegen machen? Einzig fällt mir ein, die Anzahl der
>> pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu
>> limitieren. Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu
>> Lösugen (bzw. Ideen)?
> Postfix bietet Dir keine bordeigenen Mittel an, um hier Missbrauch zu
> verhindern oder zu begrenzen.
>
> Mir ist kein frei erhältliches Tool bekannt, das speziell auf diesen SMTP AUTH
> Missbrauch reagiert, oder das eine entsprechende logische Verknüpfung von
> AUTH-Status, client-IP und Varianz bzw. Gewohnheit herstellt.
>
> Wenn Du programmieren kannst, kannst Du so ein Tool herstellen und es über das
> Postfix policy delegation protocol oder als MILTER ansprechen und in Postfix
> einbinden.
>
> p at rick
>



Mehr Informationen über die Mailingliste postfix-users