[postfix-users] Spam-Relay via gekapertem Useraccount

Robert Schetterer rs at sys4.de
Do Aug 21 11:48:15 CEST 2014


Am 21.08.2014 um 11:26 schrieb Matthias Schmidt:
> 
> Am 21.08.2014 um 18:12 schrieb Robert Schetterer <rs at sys4.de>:
> 
>> Am 21.08.2014 um 10:27 schrieb Peter Heitzer:
>>> Wäre es nicht einfacher, das mit Access Policy Delegation zu erledigen und
>>> z.B.
>>> in main.cf unter  "smtpd_recipient_restrictions"  check_policy_service xxx
>>> einzutragen?
>>> So ein policy server ist recht einfach zu implementieren. Ausserdem könnte man
>>> eine Verifizierung
>>> einbauen, ob die "From:" Adresse überhaupt dem Benutzer zugeordnet ist.
>>
>>
>>> Desweiteren könnte man auch die Anzahl der Empfänger/Zeiteinheit in
>>> Abhängigkeit von der
>>> Herkunft (IP-Bereich) reglementieren.
>>>
>>> _______________________________________________
>>> postfix-users mailing list
>>> postfix-users at de.postfix.org
>>> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>>>
>>
>> das hier koennte helfen
>>
>> http://milter-greylist.wikidot.com/geoip
>>
>> implementieren nur fuer Submission ohne greylist, nur geoip ( wenn das
>> geht )
>>
>> totally untested, iptables geoip sollte auch funktionieren , ich bitte
>> aber zu bedenken das Kunden auch mal beruflich und/oder privat im Urlaub
>> im Ausland sein konnten, diese Loesung ist also sicher nicht in jedem
>> Setup zu gebrauchen, grundsaetzlich wuerde ich eher darauf setzen
>> "Anomalien" aus den Logs erkennen zu koennen und daraus einen Alarm zu
>> triggern und dann daraus gegebenfalls eine „Auto Action“ loszutreten
>>
> 
> 
> Das mit dem Submission port funktioniert jetzt wie vorgeschlagen.
> Danke :-)
> 
> wie stell ich denn sowas an, Anomalien im Log zu erkennen um mir dann z.Bsp. eine Alarm-Mail zu schicken.
> Ich nehm mal an mit php und regex oder vergleichbares.
> Das ist nun leider nicht so ganz mein Gebiet :(

das ist nicht ganz trivial, und meines wissens gibt es dafuer auch
nichts "out of the box"

vorfiltern im syslog ist schon mal nicht schlecht
zb nach sasl

nur so als Ideengeber

https://sys4.de/de/blog/2013/04/17/monitoren-und-alarmierung-von-brute-force-attacken-auf-smtp-sasl-mit-xymon/

wenn man geschickt ist kann man die filterung auch gleich von zb rsyslog
erledigen lassen und auch von dort aus auch gleich eine action
ausfuehren lassen zb passwort aendern oder account deaktivieren usw


auch nur fuer Ideen Sammlung

https://sys4.de/de/blog/2012/12/28/botnets-mit-rsyslog-und-iptables-recent-modul-abwehren/


https://sys4.de/de/blog/2014/03/27/fighting-smtp-auth-brute-force-attacks/

ich hab mich schon an sowas versucht bin aber aus Zeitmangel noch nicht
sehr weit, technisch geht da auf jeden Fall einiges , nur "einfach" ist
es eben nicht

Einige Intruder Detection Systeme sollten auch aehnliche Moeglichkeiten
haben

> 
> Danke jedenfalls für die Hilfe hier auf der Liste
> Grüsse
> Matthias
> 
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
> 



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein


Mehr Informationen über die Mailingliste postfix-users