-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Am 14.10.2013 22:38, schrieb Thomas Krause via postfix-users:
Hallo Patick, mir fällt dazu nur folgende Logik ein (wie man die aber programmiermäßig umsetzen soll ...):
wenn ein user sich innerhalb einer kurzen Zeitspanne von unterschiedlichen IP's erfolgreich authentifiziert, muss es sich um einen ausspionierten Account handeln. Dieser wäre dann zu sperren:
grep accountname maillog.1 | grep sasl_username | awk '{ print $3 " " $7 }' | tail -15
so in der Art waere das machbar , man kann sicher was fuer seinen eigenen Server "schnitzen" , evtl mit fail2ban und oder direkt aus dem syslog, das Problem wird aber immer sein, die false positiv rate moeglichst klein zu halten, d. h je mehr Entscheidungs Parameter man zur Verfuegung hat ,umso besser, dafuer gibts aber derzeit noch nichts von der Stange
23:53:28 client=unknown[178.151.35.45], 23:53:32 client=unknown[37.115.176.79], 23:53:40 client=111-253-98-238.dynamic.hinet.net[111.253.98.238], 23:54:38 client=unknown[151.0.18.13], 23:55:08 client=113x37x209x166.ap113.ftth.ucom.ne.jp[113.37.209.166], 23:55:09 client=unknown[188.231.178.208], 23:55:11 client=unknown[109.72.118.241], 23:56:18 client=ip-89-102-193-16.net.upcbroadband.cz[89.102.193.16], 23:56:42 client=pool-109-191-26-58.is74.ru[109.191.26.58], 23:57:02 client=unknown[31.192.57.151], 23:58:05 client=111-253-98-238.dynamic.hinet.net[111.253.98.238], 23:59:08 client=unknown[151.0.18.13], 23:59:21 client=unknown[109.160.120.112], 23:59:29 client=unknown[95.179.17.5], 23:59:56 client=unknown[178.172.196.39],
und das passiert mir leider nicht zum ersten Mal.
Grüße, Thomas.
Am 14.10.2013 10:28, schrieb Patrick Ben Koetter via postfix-users:
Hallo Thomas,
- Thomas Krause via postfix-users toaster@chef-ingenieur.de:
in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam- Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf. Was kann ich dagegen machen? Einzig fällt mir ein, die Anzahl der pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu limitieren. Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu Lösugen (bzw. Ideen)?
Postfix bietet Dir keine bordeigenen Mittel an, um hier Missbrauch zu verhindern oder zu begrenzen.
Mir ist kein frei erhältliches Tool bekannt, das speziell auf diesen SMTP AUTH Missbrauch reagiert, oder das eine entsprechende logische Verknüpfung von AUTH-Status, client-IP und Varianz bzw. Gewohnheit herstellt.
Wenn Du programmieren kannst, kannst Du so ein Tool herstellen und es über das Postfix policy delegation protocol oder als MILTER ansprechen und in Postfix einbinden.
p@rick
_______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
- -- [*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein