[postfix-users] Postfix + fail2ban

André Loos via postfix-users postfix-users at de.postfix.org
Mo Sep 30 21:50:29 CEST 2013 

Hallo Robert, hallo Patrick,

danke für Eure Beiträge!
Leider laufen bei mir die meisten Versuche/Tests, eine gültige
Konto-Passwortkombination zu erlangen, per sasl ein.
Fehlgeschlagene Logins oder Tests per pop3/imap sind tatsächlich viel
weniger. Ich vermute hier, dass die Angreifer sehr wohl wissen, dass in den
maillogs die sasl-auth nicht so informativ ist, wie von "uns" gewünscht.
Weiterhin habe ich selbst Sendeversuche (im Log als sasl) mit falschem
Passwort gestartet. Das, was dann anschließend im Log zu finden ist, ist das
mimecodierte Wort "Passwort=UGFzc3dvcmQ6". Jedoch nicht das falsche Passwort
an sich bzw. gar der Benutzername, mit dem das Konto getestet wurde.

Ich hätte gerne mal einen Vergleich von Euch. Ich hoste auf meinem
Mailserver 12 Domains und habe durchschnittlich täglich zwischen 15 und 30
Tests per sasl, 5 per pop3/imap und weiterhin etwa 20-30, die ein open relay
suchen.

Herzliche Grüße, André

-----Ursprüngliche Nachricht-----
Von: postfix-users
[mailto:postfix-users-bounces+andre.loos=gmx.de at de.postfix.org] Im Auftrag
von Patrick Ben Koetter via postfix-users
Gesendet: Sonntag, 29. September 2013 23:33
An: postfix-users at de.postfix.org
Betreff: Re: [postfix-users] Postfix + fail2ban

André,

* André Loos via postfix-users <andre.loos at cogaa.de>:
> ich habe auf meinem Mailserver (Postfix) das bekannte fail2ban
installiert.
> Gibt es eine Möglichkeit die fail2ban Benachrichtigung so zu 
> gestalten, dass mir ersichtlich ist, mit welchem Konto das Login  
> (pop3/imap/sasl) gescheitert ist?

mir ist nicht bekannt, dass f2b das out of the box kann und auch nicht, dass
man es einfach dahingehend erweitern kann.

Christian Rößner und ich haben mal für ARF-Reports f2b evaluiert und dann
bald die Finger davon gelassen: Die Idee war gut - der Code nicht. (Ralf
würde
sagen: Es war so schlecht, dass ich es umschreiben musste bevor ich es
wegwarf...)

> Das Logging des Daemons müsste natürlich den fehlgeschlagene Versuch 
> mit dem benutzen Login erfassen. Ist das z.B. über den Loglevel steuerbar?

In dovecot siehst du im normalen Loglevel, ob ein Login fehlgeschlagen ist
und auch den "user=<>":

2013-09-29T18:23:50.516957+02:00 joliett dovecot: imap-login: Aborted login
(auth failed, 1 attempts in 2 secs): user=<user at example.com>, method=PLAIN,
rip=xxx.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, session=<+Jj8JIjnNQBtLAAa>


> Was müsste oder kann ich tun, um hier genauere Informationen zu erhalten?

Vielleicht kannst Du f2b ja nach "mehr" suchen lassen als es für den
Sachverhalt "auth failed" benötigt und dann ist zufällig der user-String mit
dabei. Nicht schön, aber effektiv.

p at rick


> Ich verspreche mir davon, zeitnah zu sehen, auf welche Domain oder auf 
> welches Konto eine inszenierte Attacke es gerade abgesehen hat.
> Ich hatte kürzlich den Fall, dass die Login-Daten eines Benutzers, 
> vermutlich über einen längeren Zeitraum, erfolgreich von Angreifern 
> getestet wurden und wie zu erwarten zum Versenden von Spam benutzt wurden.
> Im mail.log finde ich derzeit bei einem gescheiterten Login keine 
> genaueren Angaben zu den benutzten Logindaten. Wohl aber bei einem 
> erfolgreichen Login.
> 
> Euch vielen Dank für Tipps, Ideen oder andere Strategien ...
> 
> André Loos
> 
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

--
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
_______________________________________________
postfix-users mailing list
postfix-users at de.postfix.org
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

Mehr Informationen über die Mailingliste postfix-users