Hallo Patick,
mir fällt dazu nur folgende Logik ein (wie man die aber
programmiermäßig umsetzen soll ...):
wenn ein user sich innerhalb einer kurzen Zeitspanne von unterschiedlichen
IP's erfolgreich authentifiziert, muss es sich um einen ausspionierten
Account handeln. Dieser wäre dann zu sperren:
grep accountname maillog.1 | grep sasl_username | awk '{ print $3 " "
$7 }' | tail -15
23:53:28 client=unknown[178.151.35.45],
23:53:32 client=unknown[37.115.176.79],
23:53:40 client=111-253-98-238.dynamic.hinet.net[111.253.98.238],
23:54:38 client=unknown[151.0.18.13],
23:55:08 client=113x37x209x166.ap113.ftth.ucom.ne.jp[113.37.209.166],
23:55:09 client=unknown[188.231.178.208],
23:55:11 client=unknown[109.72.118.241],
23:56:18 client=ip-89-102-193-16.net.upcbroadband.cz[89.102.193.16],
23:56:42 client=pool-109-191-26-58.is74.ru[109.191.26.58],
23:57:02 client=unknown[31.192.57.151],
23:58:05 client=111-253-98-238.dynamic.hinet.net[111.253.98.238],
23:59:08 client=unknown[151.0.18.13],
23:59:21 client=unknown[109.160.120.112],
23:59:29 client=unknown[95.179.17.5],
23:59:56 client=unknown[178.172.196.39],
und das passiert mir leider nicht zum ersten Mal.
Grüße,
Thomas.
Am 14.10.2013 10:28, schrieb Patrick Ben Koetter via postfix-users:
Hallo Thomas,
* Thomas Krause via postfix-users <toas...@chef-ingenieur.de>:
in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre
Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort
ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem
Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden
ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam-
Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf.
Was kann ich dagegen machen? Einzig fällt mir ein, die Anzahl der
pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu
limitieren. Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu
Lösugen (bzw. Ideen)?
Postfix bietet Dir keine bordeigenen Mittel an, um hier Missbrauch zu
verhindern oder zu begrenzen.
Mir ist kein frei erhältliches Tool bekannt, das speziell auf diesen SMTP AUTH
Missbrauch reagiert, oder das eine entsprechende logische Verknüpfung von
AUTH-Status, client-IP und Varianz bzw. Gewohnheit herstellt.
Wenn Du programmieren kannst, kannst Du so ein Tool herstellen und es über das
Postfix policy delegation protocol oder als MILTER ansprechen und in Postfix
einbinden.
p@rick
_______________________________________________
postfix-users mailing list
postfix-users@de.postfix.org
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
