* André Loos via postfix-users <[email protected]>: > Leider laufen bei mir die meisten Versuche/Tests, eine gültige > Konto-Passwortkombination zu erlangen, per sasl ein.
Nur für das Protokoll: Bei IMAP ist es auch SASL (Simple And Secure Layer). Tatsächlich stammt es sogar originär aus der IMAP-Ecke. > Fehlgeschlagene Logins oder Tests per pop3/imap sind tatsächlich viel > weniger. Ich vermute hier, dass die Angreifer sehr wohl wissen, dass in den > maillogs die sasl-auth nicht so informativ ist, wie von "uns" gewünscht. Echt? Also ich komme zu einem anderen Schluss. Ich denke, die suchen Relays über die sie senden können. Das kann halt nur SMTP, wenn man jetzt mal die LEMONADE-Extentions in IMAP ausser acht läßt. > Weiterhin habe ich selbst Sendeversuche (im Log als sasl) mit falschem > Passwort gestartet. Das, was dann anschließend im Log zu finden ist, ist das > mimecodierte Wort "Passwort=UGFzc3dvcmQ6". Jedoch nicht das falsche Passwort > an sich bzw. gar der Benutzername, mit dem das Konto getestet wurde. Weder der Postfix policy(8) service noch das MILTER API geben Auskunft über das AUTH Passwort, das gesendet wurde. Eine eigene, programmierte Lösung fällt also flach. Dir bleibt also nur, das LOG auszuwerten und nach "authentication failed" zu suchen: 2013-09-30T04:12:47.500147+02:00 joliett postfix/submission/smtpd[4618]: warning: unknown[xxx.xxx.xxx.xxx]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Die IP hast Du ja dann und auf die kannst Du reagieren. > Ich hätte gerne mal einen Vergleich von Euch. Ich hoste auf meinem > Mailserver 12 Domains und habe durchschnittlich täglich zwischen 15 und 30 > Tests per sasl, 5 per pop3/imap und weiterhin etwa 20-30, die ein open relay > suchen. Auf einem System mit einem Vielfachen an Domains hatten wir heute 5 AUTH Tests auf SMTP. Woran das liegt? Spontan habe ich keine Antwort. Ausschlaggebend finde ich die Folgefragen auf die Tests: Wieviele gelingen und wieviele können anschliessend Schaden anrichten? Wenn beides Null ist, dann würde ich wachsam bleiben und für den Moment zähneknirschend hinnehmen, dass da andauernd irgendjemand versucht unser System zu exploiten. Grüsse p@rick > * André Loos via postfix-users <[email protected]>: > > ich habe auf meinem Mailserver (Postfix) das bekannte fail2ban > installiert. > > Gibt es eine Möglichkeit die fail2ban Benachrichtigung so zu > > gestalten, dass mir ersichtlich ist, mit welchem Konto das Login > > (pop3/imap/sasl) gescheitert ist? > > mir ist nicht bekannt, dass f2b das out of the box kann und auch nicht, dass > man es einfach dahingehend erweitern kann. > > Christian Rößner und ich haben mal für ARF-Reports f2b evaluiert und dann > bald die Finger davon gelassen: Die Idee war gut - der Code nicht. (Ralf > würde > sagen: Es war so schlecht, dass ich es umschreiben musste bevor ich es > wegwarf...) > > > Das Logging des Daemons müsste natürlich den fehlgeschlagene Versuch > > mit dem benutzen Login erfassen. Ist das z.B. über den Loglevel steuerbar? > > In dovecot siehst du im normalen Loglevel, ob ein Login fehlgeschlagen ist > und auch den "user=<>": > > 2013-09-29T18:23:50.516957+02:00 joliett dovecot: imap-login: Aborted login > (auth failed, 1 attempts in 2 secs): user=<[email protected]>, method=PLAIN, > rip=xxx.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, session=<+Jj8JIjnNQBtLAAa> > > > > Was müsste oder kann ich tun, um hier genauere Informationen zu erhalten? > > Vielleicht kannst Du f2b ja nach "mehr" suchen lassen als es für den > Sachverhalt "auth failed" benötigt und dann ist zufällig der user-String mit > dabei. Nicht schön, aber effektiv. > > p@rick > > > > Ich verspreche mir davon, zeitnah zu sehen, auf welche Domain oder auf > > welches Konto eine inszenierte Attacke es gerade abgesehen hat. > > Ich hatte kürzlich den Fall, dass die Login-Daten eines Benutzers, > > vermutlich über einen längeren Zeitraum, erfolgreich von Angreifern > > getestet wurden und wie zu erwarten zum Versenden von Spam benutzt wurden. > > Im mail.log finde ich derzeit bei einem gescheiterten Login keine > > genaueren Angaben zu den benutzten Logindaten. Wohl aber bei einem > > erfolgreichen Login. > > > > Euch vielen Dank für Tipps, Ideen oder andere Strategien ... > > > > André Loos > > > > _______________________________________________ > > postfix-users mailing list > > [email protected] > > http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users > > -- > [*] sys4 AG > > http://sys4.de, +49 (89) 30 90 46 64 > Franziskanerstraße 15, 81669 München > > Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 > Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer > Aufsichtsratsvorsitzender: Florian Kirstein > > _______________________________________________ > postfix-users mailing list > [email protected] > http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users > > _______________________________________________ > postfix-users mailing list > [email protected] > http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein _______________________________________________ postfix-users mailing list [email protected] http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
