Mail Server Seit heuite Nachmittag viele Angriffe auf den Mailserver - wie das System absichern?

[Dany28]

Hi Folkz,

seit heute Nachmittag bekomme ich dutzende Mails mit geblockten IPs. Diese befinden sich rund um den Globus und ich hab da doch ein schlechtes Gefühl. Was meint ihr dazu?



lg

Dany

 

[laserdesign]

ist normal, hängt aber auch von deinem port forwarding ab.

 

[Wolfman_II]

Wie willst du das Portforwarding denn anders machen, wenn du einen funktionierenden Mailserver betreiben willst? Wenn du irgendwelche Highports einträgst finden dich andere Mailserver nicht mehr. Dann kannst du den Mailserver auch gleich abschalten.

Bei mir ist derzeit das gleiche Problem. Da helfen wohl nur eine restirktive Einstellung des Auto-Blocks und starke Passwörter.
So lange alles geblockt wird ist's ja gut.

 

[jahlives]

@Wolfman
man kann die Authentifizierung mittels Configanpassung auch von Port 25 entfernen und z.B. nur bei Port 587 erlauben
Dann können die Scriptkiddies sich am Port 25 austoben

 

[Wolfman_II]

Und andere Mailserver suchen auch automatisch nach Port 587? Wie sähe denn eine solche Configanpassung im Detail aus? Gibt es da was im Wiki dazu?

 

[jahlives]

ein anderer Mailserver hat ja nichts zu authentifizieren, oder? Der kann weiterhin seine Post nach 25 schicken. Relay geht dann nur via 587 und das muss ja kein externer Server

[COLOR=black]smtpd_sasl_auth_enable=no
[/COLOR]

und scho offeriert der Server keine Auth mehr

 

[Wolfman_II]

Ah, jetzt versteh ich was du meinst. Ok, werd ich mal ausprobieren. Der Angriff scheint zwar vorbei zu sein, aber für die Zukunft hilft es vielleicht etwas mehr (jedenfalls bis zum nächsten Firmwareupdate; da werden die Einstellungen wahrscheinlich wieder überschrieben :-( ).

Die Codezeile gehört in die main.cf vermute ich?

 

[jahlives]

jap in main.cf resp ins template. Dann muss man aber in master.cf einen Service für Port 587 mit smtpd__sasl_auth_enable=yes definieren

 

[dave82]

Hi,

genau die gleichen IP's versuchen es seit gestern auf meinem Mailserver, welcher allerdings auf einem vserver läuft. Die Angreifer kommen von überall auf der Welt. Zum Schutz läuft ein fail2ban, welcher bei unbekanntem Nutzernamen sowie falschem Passwort blockt und die IP's für 1 Tag sperrt.

Gibt es auf der DS nicht auch so ein Anti-Bruteforce Tool welches die IP's nach X Versuchen blockt? Ist eigentlich Pflicht bei einem Mailserver.

Gruß Dave

 

[Wolfman_II]

Hmmm, mit Try and Error möchte ich da auf einem Produktivserver eigentlich nicht rumdoktern und die genaue Syntax erschließt sich mir da nicht so ganz.
Reicht da einfach ein

587 inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes

als Codezeile in die Master-Template zu schreiben?

 

[Wolfman_II]

@dave:
Es gibt den Autoblock. Der macht genau das. Wenn man den restriktiv einstellt, funktioniert das ganz gut. Bei der letzten Welle hatten die Angreifer bei mir insgesamt genau 23 Versuche.

 

[dave82]

@dave:
Es gibt den Autoblock. Der macht genau das. Wenn man den restriktiv einstellt, funktioniert das ganz gut. Bei der letzten Welle hatten die Angreifer bei mir insgesamt genau 23 Versuche.

Hi Wolfman,

meinst du die Automatische Blockierung aus der Systemsteuerung? Laut Synology ist diese aber nicht für den Mailserver oder doch?

Das steht auf der Synology-Homepage:
...
Die Blockierung einer IP-Adresse nach einer bestimmten Anzahl an gescheiterten Anmeldeversuchen stärkt den Schutz der DiskStation vor unberechtigtem Zugriff. Fehlgeschlagene Anmeldeversuche über SSH, Telnet, rsync, Netzwerksicherung, Synchronisierung gemeinsamer Ordner, FTP, WebDAV, mobile Synology-Apps, File Station oder DSM summieren sich.
...

Gruß Dave

 

[jahlives]

H

587 inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes

der Lesbarkeit halber würde ich die -o jeweils auf eine eigene Zeile schreiben. Sonst hat du bei 20 oder 30 Optionen einen schier Endlosbandwurm$
Wichtig wäre dabei noch: jedes -o mit einem Leerzeichen einleiten

 

[Wolfman_II]

Nach meiner Erfahrung hat es Synology leider nicht so arg mit Beschreibungen bzw. Aktualität. Bei mit hat der Autoblock die Brute Force Angriffe auf den Mailserver regelmäßig zuverlässig blockiert. Mein Blockfile läuft fast über

 

[Wolfman_II]

@jahlives:
Ok danke. Ich werde es mal probieren.

 

[dave82]

Nach meiner Erfahrung hat es Synology leider nicht so arg mit Beschreibungen bzw. Aktualität. Bei mit hat der Autoblock die Brute Force Angriffe auf den Mailserver regelmäßig zuverlässig blockiert. Mein Blockfile läuft fast über

Danke für die Info. Werde ich mal testen, war bisher ein Grund wieso mein Mailserver noch nicht auf der DS läuft.

Gruß Dave