Sicherheitsluecke, spam Moeglichkeit in postfix/dovecot ?

Patrick Ben Koetter p at sys4.de
Mi Okt 14 16:59:32 CEST 2015 

Christoph,

* Christoph P.U. Kukulies <dovecot at listen.jpberlin.de>:
> Ich würde ja gerne noch etwas forschen, wer was auf meinem Host gemacht hat.
> Aber den log zu anonymisieren ist, wie man sehen konnte, nicht immer
> von Erfolg gekrönt :|
> 
> Könnte man sagen, daß z.B. dieses hier nur auf böse Absicht deuten kann?:
> 
> Oct 12 08:39:53 myserver postfix/smtpd[1701]: warning:
> unknown[21.197.142.228]: SASL LOGIN authentication failed:
> Connection lost to authentication server
> Oct 12 08:39:53 myserver postfix/smtpd[1701]: >
> unknown[21.197.142.228]: 535 5.7.8 Error: authentication failed:
> Connection lost to authentication server

sowas passiert ständig. Ich sehe die Server unserer Kunden an und frage mich
immer: "Was wollen die alle von denen? Können die nicht mal aufhören?"
Das bleibt natürlich nur ein frommer Wunsch. Irgend ein A**** versucht
garantiert immer, ein System zu kompromittieren.

Die Gretchenfrage ist IMO nicht, ob einer versucht das System zu
kompromittieren, sondern ob es ihm gelingt und woran ich das erkennen kann.

Die Softwares, die in diesem Rahmen für gewöhnlich genannt werden, sind
fail2ban und postfwd2. Mit fail2ban kannst Du failed login attempts im Log
mitlesen und die IP des Clients dann z.B. blocken lassen. Mit postfwd2 kannst
Du z.B. in Abhängigkeit von Tag, Stunde und Netz unterschiedliche Sende Limits
einstellen. Das ist auch wichtig, um z.B. die Möglichkeiten eines Missbrauchs
niedrig zu halten und so potentiellen Schaden zu deckeln.

Auf den Postfix Mailinglisten findest Du sicherlich noch mehr guten Rat, wie
Du Dir mit eigenen Mitteln helfen kannst.

Wenn es mehr sophisticated werden soll, dann kannst Du kaufen gehen. Wir -
sys4 - bieten ein Framework für lokale Fraud Detection und Abuse Handling. Das
ist verblüffend effektiv und liefert Dir von der Erkennung über das Blocken,
Notification und Reporting die ganze Kette dessen was ein z.B. ein ISP
benötigt.


> Würde sich jemand meinen log mal ansehen wollen? Um evtl. auch noch
> den malignen Sender ausfindig zu machen?

Dazu bräuchte es einen Vertrag über Auftragsdatenverarbeitung etc. pp. damit
man das Datenschutzkonform machen kann/darf.
siehe auch: https://www.bfdi.bund.de/bfdi_wiki/index.php/Auftragsdatenverarbeitung

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste Dovecot