Re: Postfix - Umgang mit Mail-Angriffen
Hallo Markus, Markus Meyer, 08.09.2005 (d.m.y): On [Wed, Sep 07 23:32], Christian Schmidt wrote: Ein von mir betreutes System bringt es zur Zeit auf ca. 100k Rejects bei ca. 3000 zugestellten Mails pro Tag... Wie schon gesagt, da ist noch nicht viel los. Ich will jedoch gewappnet sein für etwaige Sturm- und Drangzeiten. Im Klartext, da wird mal mehr los sein und in diesem ist das Motto be prepared. 1. Da ich nicht das Rad neuerfinden will: Gibt es sowas schon? Ja. Aha...? Was meinst du? Einige Beispiele wurden AFAIR ja schon genannt. Ich haette noch: # See http://www.pettingers.org/code/sshblack.html for details on # this # # This is a script which tails the secure log files and dynamically # blocks # connections from hosts which meet certain criteria, using # command-line kernel-level firewall configuration tools provided by # underlying operating system (iptables) # As the script is modifying iptables, it will need root access to do # so. Gruss, Christian Schmidt -- Warum sollte man einem Liebhaber treuer sein als einem Ehemann? -- Jean Jacques Rousseau signature.asc Description: Digital signature
Re: Postfix - Umgang mit Mail-Angriffen
Hallo, Markus... On Tue, Sep 06, 2005 at 08:18:04PM +0200, Markus Meyer wrote: Ich habe ab un zu mal auf meinem Mailserver eine plötzliche verhundertfachung der Rejects, weil irgendwelche Wahnsinnigen unbedingt E-Mails schicken, die zwar zur richtigenb Domäne gehören, aber keinen gültigen Empfänger auf dem Server besitzen. Statistik bisher: 822 rejected 196 verschiedene Sender Klingt von der Proportion her normal. OK, bei weitem kein High-Traffic. Trotz allem nervt das und so dachte ich mir etwas zu basteln, das automatisch einen Sender bounct, oder dessen IP via iptables sperrt, sobald mehrere Rejects von dort registriert wurden. Meine Fragen: 1. Da ich nicht das Rad neuerfinden will: Gibt es sowas schon? Ich bastel seit einiger Zeit an sowas, was im Prinzip auch läuft. Ich habe nur noch keinen Daemon draus gebaut mit init.d-Skript und Doku. Wenn Interesse besteht: http://workaround.org/pacifier/pacify.pl Das Skript kann man im oberen Teil mit bestimmten Suchausdrücken füttern und Scores zuweisen. Dieses Skript schützt hier schon einen Test-Server. Es gibt auch ein Debian-Paket fail2ban, das ich noch nicht probiert habe. Ist aber nicht in Sarge (nur testing und unstable). 2. Was davon macht am ehesten Sinn? Ich ertrage das einfach und nutze nur gängige Blacklists. :) Aber du hast schon Recht, bevor noch eine Mail durchkommt, sollte man den Angreifer lieber loswerden. 3. Oder welche Möglichkeiten gibt es noch? Schau mal nach policy daemons. Da gibt es auch einige interessante Ansätze, um solche Angriffe abzuwehren. Von Greylisting halte ich dagegen gar nichts. Versuch mal: apt-cache search postfix policy Ich will keinen Policy-Daemon einsetzen, da die Mail dann schon durch die halben Postfix-Queues durch ist. Sicher? Kann eigentlich nicht sein, denn beim Greylisting wird der Angreifer ja auch draußen gehalten. Der Server antwortet direct mit einer 4xx-Meldung. Also ist die Mail noch nicht in der Queue. Sprich, die Mail soll so früh wie möglich gestoppt werden mit so wenig Systemressourcen wie da geht. Am schönsten ist das wohl eher ein Tool (s.o.), welches das mail.log überwacht und dann den Absender in client_access einträgt, um ihn direkt aufgrund der IP zu blocken. Du kannst diese Restriktion z.B. in einer SQL-Datenbank pflegen. Dann hättest du die nette Variante per SMTP. Ich tendiere zu hartem Abweisen per iptables. Markus Meyer - encrypted email preferred - GPG: B87120ED Könnte für andere Listenteilnehmer unbequem sein. ;) Gruß, Christoph -- ~ ~ ~ .signature [Modified] 3 lines --100%--3,41 All -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Postfix - Umgang mit Mail-Angriffen
On [Wed, Sep 07 14:19], Christoph Haas wrote: Hallo, Markus... Aloha Christoph, Ich bastel seit einiger Zeit an sowas, was im Prinzip auch läuft. Ich habe nur noch keinen Daemon draus gebaut mit init.d-Skript und Doku. Wenn Interesse besteht: http://workaround.org/pacifier/pacify.pl Das Skript kann man im oberen Teil mit bestimmten Suchausdrücken füttern und Scores zuweisen. Dieses Skript schützt hier schon einen Test-Server. Merci. Das werd ich mir mal in aller Ruhe anschauen. Es gibt auch ein Debian-Paket fail2ban, das ich noch nicht probiert habe. Ist aber nicht in Sarge (nur testing und unstable). Schaut auf den ersten Blick wieder wie ein Schlag-Alles-Tot Programm aus. Ich gucks mir mal an, sonst bastel ich mir lieber selber was kleines. Ich ertrage das einfach und nutze nur gängige Blacklists. :) Bisten harter Kerl, was? Schau mal nach policy daemons. Da gibt es auch einige interessante Ansätze, um solche Angriffe abzuwehren. Von Greylisting halte ich dagegen gar nichts. Versuch mal: apt-cache search postfix policy Gut, wenn du das sagst, werde ich nochmal einen Blick draufwerfen ;) Aber deine Meinung über Greylisting halte ich für dumm. Es bringt eine Menge. Sicher? Kann eigentlich nicht sein, denn beim Greylisting wird der Angreifer ja auch draußen gehalten. Der Server antwortet direct mit einer 4xx-Meldung. Also ist die Mail noch nicht in der Queue. Ok, dann habe ihc da wohl etwas nicht kapiert... Am schönsten ist das wohl eher ein Tool (s.o.), welches das mail.log überwacht und dann den Absender in client_access einträgt, um ihn direkt aufgrund der IP zu blocken. Du kannst diese Restriktion z.B. in einer SQL-Datenbank pflegen. Dann hättest du die nette Variante per SMTP. An so etwas hatte ich gedacht. Gerade in Perl ist sowas einfach zu machen. Aber da muß halt jedesmal ein Postfix zu einem Reload überredet werden und ich weiß nicht, ob das Probleme bereitet. Ich tendiere zu hartem Abweisen per iptables. Deswegen halte ich das hier für sinnvoller, weil kein Dienst neu gestartet wird. Markus Meyer - encrypted email preferred - GPG: B87120ED Könnte für andere Listenteilnehmer unbequem sein. ;) Hey dude. What's up? *g* Cheers, -- Markus Meyer - encrypted email preferred - GPG: B87120ED --- Ein Mensch in einer fremden Stadt fragt: Wissen Sie, wo es zum Bahnhof geht? Passant: Nein. Fragender: Na dann passen Sie mal auf ... pgpK6qNdZiRhk.pgp Description: PGP signature
Re: Postfix - Umgang mit Mail-Angriffen
Hallo und Guten Abend Markus, Heute (am 07.09.2005 - 19:28 Uhr) schriebst Du: Merci. Das werd ich mir mal in aller Ruhe anschauen. Es gibt auch ein Debian-Paket fail2ban, das ich noch nicht probiert habe. Ist aber nicht in Sarge (nur testing und unstable). Schaut auf den ersten Blick wieder wie ein Schlag-Alles-Tot Programm aus. Ich gucks mir mal an, sonst bastel ich mir lieber selber was kleines. schaut euch mal das an: http://robtone.mine.nu/postfix/ ist sehr effizient im Zusammenspiel mit postgrey. 98% werden am SMTP Port abgewiesen. -- Viele Grüße, Kind regards, Jim Knuth PGP Fingerprint: 12B8 8BED C919 07A3 7241 75B8 6D06 7726 FC4C BA8D -- Zufalls-Zitat -- Geld ist die reinste Form des Werkzeugs. (Georg Simmel) -- Dieser Text hat nichts mit dem Empfänger der Mail zu tun -- Virus free. Checked by NOD32 Version 1.1210 Build 6083 06.09.2005 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Postfix - Umgang mit Mail-Angriffen
On Wed, Sep 07, 2005 at 07:28:15PM +0200, Markus Meyer wrote: Ich ertrage das einfach und nutze nur gängige Blacklists. :) Bisten harter Kerl, was? Nö, Blacklists machen 95% weg. Den Rest sortiert Spamassassin. Dass jemand eine gültige Mail-Adresse durch Attacken, wie du sie beschreibst, errät, habe ich selten beobachten können. Schau mal nach policy daemons. Da gibt es auch einige interessante Ansätze, um solche Angriffe abzuwehren. Von Greylisting halte ich dagegen gar nichts. Versuch mal: apt-cache search postfix policy Gut, wenn du das sagst, werde ich nochmal einen Blick draufwerfen ;) Aber deine Meinung über Greylisting halte ich für dumm. Es bringt eine Menge. Religiöses Thema. Manche glauben, dass es die Lösung aller Probleme beim Spam ist. Aber: - die Spammer sind nicht dämlich, bald hilft Greylisting auch nicht mehr - deine User werden nicht begeistert sein, wenn sie auf Mails neuer Partner mehrere Minuten warten müssen - das ist im Geschäftsumfeld eine teure Sache Am schönsten ist das wohl eher ein Tool (s.o.), welches das mail.log überwacht und dann den Absender in client_access einträgt, um ihn direkt aufgrund der IP zu blocken. Du kannst diese Restriktion z.B. in einer SQL-Datenbank pflegen. Dann hättest du die nette Variante per SMTP. An so etwas hatte ich gedacht. Gerade in Perl ist sowas einfach zu machen. Aber da muß halt jedesmal ein Postfix zu einem Reload überredet werden und ich weiß nicht, ob das Probleme bereitet. Kein Reload nötig. Entweder du nimmst Maps, die du mit postmap neu baust. Oder du fragst ein Backend ab (LDAP, MySQL, PgSQL, ...) und da braucht man erst recht keinen Reload. Ich tendiere zu hartem Abweisen per iptables. Deswegen halte ich das hier für sinnvoller, weil kein Dienst neu gestartet wird. Könnte aber aber Ärger mit RFC-Ignorant geben. Wenn du jemanden versehentlich sperrst und der bekommt keine Mails mehr an [EMAIL PROTECTED] durch, sind manche Provider auch nicht gerade begeistert. Christoph -- ~ ~ ~ .signature [Modified] 3 lines --100%--3,41 All -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Postfix - Umgang mit Mail-Angriffen
On [Wed, Sep 07 20:23], Jim Knuth wrote: Hallo und Guten Abend Markus, Aloha Jim, schaut euch mal das an: http://robtone.mine.nu/postfix/ Hmm, sieht auf den ersten Blick ganz gut aus. Hab immer mehr zu schauen dieser Tage ;) Merci, -- Markus Meyer - encrypted email preferred - GPG: B87120ED --- Trafen sich zwei Jäger, der eine hat schwer verletzt überlebt. pgpKYb2qpJNqC.pgp Description: PGP signature
Re: Postfix - Umgang mit Mail-Angriffen
On [Wed, Sep 07 20:44], Christoph Haas wrote: Hi Christoph, Religiöses Thema. Ok, hast recht. Lassen wir das... Kein Reload nötig. Entweder du nimmst Maps, die du mit postmap neu baust. Oder du fragst ein Backend ab (LDAP, MySQL, PgSQL, ...) und da braucht man erst recht keinen Reload. Also neue Maps werden sofort übernommen? Ohne einen Reload von Postfix? Auf die Backends möchte ich verzichten. Je simpler, umso besser. Ich tendiere zu hartem Abweisen per iptables. Deswegen halte ich das hier für sinnvoller, weil kein Dienst neu gestartet wird. Könnte aber aber Ärger mit RFC-Ignorant geben. Wenn du jemanden versehentlich sperrst und der bekommt keine Mails mehr an [EMAIL PROTECTED] durch, sind manche Provider auch nicht gerade begeistert. Meine Idee war einen Sender oder dessen IP, der Schwachsinns-Mails verschickt, nur für einige Zeit zu blocken. Ich hatte so an 10 bis 20 Minuten gedacht. Die meißten Angriffe dieser Art dauerten bisher immer nur ein paar Stunden. Echten Mailservern macht das kein Problem. Shalom, -- Markus Meyer - encrypted email preferred - GPG: B87120ED --- Immer wieder behauptete Unwahrheiten werden nicht zu Wahrheiten, sondern was schlimmer ist, zu Gewohnheiten. -- Oliver Hassencamp pgpa4W49tRyJT.pgp Description: PGP signature
Re: Postfix - Umgang mit Mail-Angriffen
Hallo Markus, Markus Meyer, 06.09.2005 (d.m.y): Ich habe ab un zu mal auf meinem Mailserver eine plötzliche verhundertfachung der Rejects, weil irgendwelche Wahnsinnigen unbedingt E-Mails schicken, die zwar zur richtigenb Domäne gehören, aber keinen gültigen Empfänger auf dem Server besitzen. Statistik bisher: 822 rejected 196 verschiedene Sender Ein von mir betreutes System bringt es zur Zeit auf ca. 100k Rejects bei ca. 3000 zugestellten Mails pro Tag... OK, bei weitem kein High-Traffic. Trotz allem nervt das und so dachte ich mir etwas zu basteln, das automatisch einen Sender bounct, Dafuer sorgt doch schon der einliefernde Mailserver, wenn er eine Nachricht bei Deiner Maschine nicht loswerden kann. oder dessen IP via iptables sperrt, sobald mehrere Rejects von dort registriert wurden. Meine Fragen: 1. Da ich nicht das Rad neuerfinden will: Gibt es sowas schon? Ja. 2. Was davon macht am ehesten Sinn? Ich wuerde es lassen: Solange Dein MTA die Nachrichten nicht annimmt, ist doch alles OK: Die Arbeit mit eventuellen Bounces hat der gegnerische Server, und Dein System bleibt sauber. Ich will keinen Policy-Daemon einsetzen, da die Mail dann schon durch die halben Postfix-Queues durch ist. Sprich, die Mail soll so früh wie möglich gestoppt werden mit so wenig Systemressourcen wie da geht. Naja, einmal nachsehen, ob der Recipient existiert und ein 550 zurueckgeben halte ich nicht fuer sooo eine Ressourcenverschwendung... ...oder erfragt Dein postfix die Existenz der avisierten Benutzer ueber irgendwelche DB-Abfragen? Gruss, Christian Schmidt -- Haben die Kühe nichts zu fressen, hat sie der Bauer wohl vergessen. signature.asc Description: Digital signature
Re: Postfix - Umgang mit Mail-Angriffen
On [Wed, Sep 07 23:32], Christian Schmidt wrote: Hallo Markus, Aloha Christian, Ein von mir betreutes System bringt es zur Zeit auf ca. 100k Rejects bei ca. 3000 zugestellten Mails pro Tag... Wie schon gesagt, da ist noch nicht viel los. Ich will jedoch gewappnet sein für etwaige Sturm- und Drangzeiten. Im Klartext, da wird mal mehr los sein und in diesem ist das Motto be prepared. 1. Da ich nicht das Rad neuerfinden will: Gibt es sowas schon? Ja. Aha...? Was meinst du? Naja, einmal nachsehen, ob der Recipient existiert und ein 550 zurueckgeben halte ich nicht fuer sooo eine Ressourcenverschwendung... ...oder erfragt Dein postfix die Existenz der avisierten Benutzer ueber irgendwelche DB-Abfragen? Ebendies. Virtual Maps über MySQL verwaltet. Ich bin am überlegen, ob ich das Ganze nicht nach LDAP umziehe. Nur habe ich noch nie mit LDAP gearbeitet und weiß auch nix über die Performance. Und irgendeine DB brauche ich schon, sonst habe ich wieder eine Menge einzelner Dateien übers System verstreut: Mailbox, Recipients, SASL etcpp.. Für andere Möglichkeiten habe ich immer ein offenes Ohr ;) Peace, -- Markus Meyer - encrypted email preferred - GPG: B87120ED --- Heimisch in der Welt wird man nur duch Arbeit. Wer nicht arbeitet, ist heimatlos. -- Berthold Auerbach pgpoe38YUUV6K.pgp Description: PGP signature
Postfix - Umgang mit Mail-Angriffen
Aloha Leute, sorry wegen des miesen Betreffs. Aber mir fehlt im Moment die Phantasie. Ich habe ab un zu mal auf meinem Mailserver eine plötzliche verhundertfachung der Rejects, weil irgendwelche Wahnsinnigen unbedingt E-Mails schicken, die zwar zur richtigenb Domäne gehören, aber keinen gültigen Empfänger auf dem Server besitzen. Statistik bisher: 822 rejected 196 verschiedene Sender OK, bei weitem kein High-Traffic. Trotz allem nervt das und so dachte ich mir etwas zu basteln, das automatisch einen Sender bounct, oder dessen IP via iptables sperrt, sobald mehrere Rejects von dort registriert wurden. Meine Fragen: 1. Da ich nicht das Rad neuerfinden will: Gibt es sowas schon? 2. Was davon macht am ehesten Sinn? 3. Oder welche Möglichkeiten gibt es noch? Ich will keinen Policy-Daemon einsetzen, da die Mail dann schon durch die halben Postfix-Queues durch ist. Sprich, die Mail soll so früh wie möglich gestoppt werden mit so wenig Systemressourcen wie da geht. Shalom und Danke, -- Markus Meyer - encrypted email preferred - GPG: B87120ED --- Eine Persönlichkeit ist der Ausgangspunkt und Fluchtpunkt alles dessen, was gesagt wird und dessen, wie es gesagt wird. -- Robert Musil pgpsOM8RCsORB.pgp Description: PGP signature