[postfix-users] Spam-Relay via gekapertem Useraccount

Florian Pritz bluewind at xinu.at
Do Aug 21 15:54:19 CEST 2014 

On 21.08.2014 11:26, Matthias Schmidt wrote:
> wie stell ich denn sowas an, Anomalien im Log zu erkennen um mir dann z.Bsp. eine Alarm-Mail zu schicken.

http://www.inversepath.com/tenshi.html

Tenshi braucht anfangs etwas viel Liebe (erstmal alles was uninteressant
ist rausfiltern und dabei nach Möglichkeit sehr genaue Filter bauen die
wirklich nur das uninteressant treffen), dann ist es aber sehr praktisch.

Außerdem willst du reject_authenticated_sender_login_mismatch in deine
restrictions einbauen damit jeder user nur noch mit seinen Adressen
schicken darf. Das verlässt sich allerdings auf ein ordentlich gesetztes
smtpd_sender_login_maps.

Dann willst du noch *alle* Mails (auch die von deinen Usern und auch
lokal erstellte (pickup)) durch einen Spamfilter schicken. Das machst du
wenn ich das richtig sehe für submission momentan nicht. Einfach überall
den content_filter setzen.

Und zum Schluss willst du noch limitieren wie viele Mails ein user pro
Zeit schicken darf damit gestohlene Accounts nicht ganz so schlimm sind.
Da machst du postfwd in postfix als policy service an den passenden
Stellen rein. Am besten in smtpd_end_of_data_restrictions.

Meine postfwd config:

> &&SASL_WHITELIST {
>         sasl_username=devnull;
> };
> 
> # skip lower rate limiting for certain users
> id=SaslWhitelist;
>         protocol_state==END-OF-MESSAGE;
>         &&SASL_WHITELIST;
>         action=rcpt(sasl_username/300/21600/REJECT You can only send to 300 recipients per 6h per user)
> 
> # skip lower rate limiting for certain users
> id=SaslWhitelist2;
>         protocol_state==END-OF-MESSAGE;
>         &&SASL_WHITELIST;
>         action=dunno;
> 
> # sasl_username != doesn't work for whatever reason
> id=RcptRate;
>         protocol_state==END-OF-MESSAGE;
>         sasl_username!~/^$/;
>         action=rcpt(sasl_username/100/21600/REJECT You can only send to 100 recipients per 6h per user)
> 
> # this causes postfwd to log something for every mail
> id=logging;
>         protocol_state==END-OF-MESSAGE;
>         action=dunno;



-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20140821/606f0c4a/attachment.sig>

Mehr Informationen über die Mailingliste postfix-users