<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Hallo Stefan,</p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">pünktlich zu den Feiertagen, wie immer :(</p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Am Dienstag, 27. Dezember 2022, 12:12:20 CET schrieb SHarbich@t-online.de:</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> ich betreibe einen eigenen Mailserver mit folgenden Komponenten</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> (Postfix/Dovecot/LDAP/Fail2Ban/Sieve/RSPAM). Am 24.12.2022 hatte ich einen</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> Angriff auf meine Mail Infrastruktur. Darauf hin wurde mir der Port 25</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> Richtung Internet vom ISP eingeschränkt. Ein Mailkonto wurde gehackt. </p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Tatsächlich auf Deine Infrastruktur oder nur auf einen Client / Credentials / mynetworks / ?</p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> Von dort wurden SPAM Mail's versendet. </p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Da 25 outbound betroffen würd ich das eher bei Postfix/Config/Credentials verorten, nicht bei Dovecot (es sei denn der hat versendet).</p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> Um nun sicher zu gehen das sich kein</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> Trojaner eingenistet hat bräuchte ich kurz Eure Unterstützung. </p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Wenn Du rausbekommen willst, wie es dazu gekommen ist, helfen die Postfix-Logs (da der MTA ja per 25 in die Welt redet).</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Gehst Du aktuell davon aus, dass auf dem Server selbst jemand gewesen ist, sprich sender ist localhost? In dem Fall wäre der aktuell sowieso komplett verbrannt und müsste komplett neu installiert / aus ggf. mehreren Backups wiederhergestellt werden (aktuelle Nutzerdaten, System zu einem Zeitpunkt als sicher noch keiner drin war).</p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> Ich sehe im</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> Sever journalctl immer noch folgende Einträge eines Postfach das ich</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> gelöscht habe. Wie kann das sein? Kann ich ermitteln wer diese Anfrage</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> stellt?</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> </p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> ...</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> Dez 25 16:35:25 dsme01 dovecot[9180]: imap-login: Login:</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> user=<voicemail@example.com>, method=PLAIN, rip=192.168.20.20, mpid=55843,</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> TLS, TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits),</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> session=<9m1/xKjwwNXAqBQU></p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Erfolgreicher Login der rip=192.168.20.20 (RemoteIP - Gerät/VM, das ein Interface mit der IP hat, hat sich erfolgreich eingeloggt). Sofern die 192.168.20.20 kein NAT macht kommen die Logins daher - welches Gerät hat die IP? Ein Server der versucht voicemails abzurufen?</p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> Dez 25 19:15:23 dsme01 dovecot[9180]: imap-login: Disconnected (auth</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> failed, 4 attempts in 20 secs): user=<voicemail@example.com>, method=PLAIN,</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> rip=192.168.20.20, TLS, TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256</p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">> bits), session=<2UVf/6rwepHAqBQU></p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Gleiches Gerät versucht das Selbe, der Login ist aber nicht mehr möglich, jetzt falsche Zugangsdaten.</p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Ohne zu wisssen, was genau die 192.168.20.20 ist gerade ein bisschen Stochern im Trüben.</p>
<br /><br /><br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">-- </p>
<p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Viele Grüße</p>
<br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Tom</p>
<br /></body>
</html>