[postfix-users] Spam über reguläre Mailkonten
Hi, in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam- Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf. Was kann ich dagegen machen? Einzig fällt mir ein, die Anzahl der pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu limitieren. Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu Lösugen (bzw. Ideen)?
Viele Grüße, Thomas.
Hallo,
Passwort des betroffenen Kontos ändern und den PC auf Mailware prüfen.
Gruß
Klaus
Am 14.10.2013 10:00, schrieb Thomas Krause via postfix-users:
Hi, in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam- Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf. Was kann ich dagegen machen? Einzig fällt mir ein, die Anzahl der pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu limitieren. Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu Lösugen (bzw. Ideen)?
Viele Grüße, Thomas. _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 14.10.2013 10:00, schrieb Thomas Krause via postfix-users:
Hi, in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam- Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf. Was kann ich dagegen machen? Einzig fällt mir ein, die Anzahl der pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu limitieren. Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu Lösugen (bzw. Ideen)?
Erfolgt der Versand über einen regulären Mailprovider (z.B. GMX)? Dann hilft nur deren Abuse Abteilung informieren, damit die die Accounts sperren.
Hallo Thomas,
* Thomas Krause via postfix-users toaster@chef-ingenieur.de:
in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam- Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf. Was kann ich dagegen machen? Einzig fällt mir ein, die Anzahl der pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu limitieren. Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu Lösugen (bzw. Ideen)?
Postfix bietet Dir keine bordeigenen Mittel an, um hier Missbrauch zu verhindern oder zu begrenzen.
Mir ist kein frei erhältliches Tool bekannt, das speziell auf diesen SMTP AUTH Missbrauch reagiert, oder das eine entsprechende logische Verknüpfung von AUTH-Status, client-IP und Varianz bzw. Gewohnheit herstellt.
Wenn Du programmieren kannst, kannst Du so ein Tool herstellen und es über das Postfix policy delegation protocol oder als MILTER ansprechen und in Postfix einbinden.
p@rick
Hallo Patick, mir fällt dazu nur folgende Logik ein (wie man die aber programmiermäßig umsetzen soll ...):
wenn ein user sich innerhalb einer kurzen Zeitspanne von unterschiedlichen IP's erfolgreich authentifiziert, muss es sich um einen ausspionierten Account handeln. Dieser wäre dann zu sperren:
grep accountname maillog.1 | grep sasl_username | awk '{ print $3 " " $7 }' | tail -15
23:53:28 client=unknown[178.151.35.45], 23:53:32 client=unknown[37.115.176.79], 23:53:40 client=111-253-98-238.dynamic.hinet.net[111.253.98.238], 23:54:38 client=unknown[151.0.18.13], 23:55:08 client=113x37x209x166.ap113.ftth.ucom.ne.jp[113.37.209.166], 23:55:09 client=unknown[188.231.178.208], 23:55:11 client=unknown[109.72.118.241], 23:56:18 client=ip-89-102-193-16.net.upcbroadband.cz[89.102.193.16], 23:56:42 client=pool-109-191-26-58.is74.ru[109.191.26.58], 23:57:02 client=unknown[31.192.57.151], 23:58:05 client=111-253-98-238.dynamic.hinet.net[111.253.98.238], 23:59:08 client=unknown[151.0.18.13], 23:59:21 client=unknown[109.160.120.112], 23:59:29 client=unknown[95.179.17.5], 23:59:56 client=unknown[178.172.196.39],
und das passiert mir leider nicht zum ersten Mal.
Grüße, Thomas.
Am 14.10.2013 10:28, schrieb Patrick Ben Koetter via postfix-users:
Hallo Thomas,
- Thomas Krause via postfix-users toaster@chef-ingenieur.de:
in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam- Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf. Was kann ich dagegen machen? Einzig fällt mir ein, die Anzahl der pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu limitieren. Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu Lösugen (bzw. Ideen)?
Postfix bietet Dir keine bordeigenen Mittel an, um hier Missbrauch zu verhindern oder zu begrenzen.
Mir ist kein frei erhältliches Tool bekannt, das speziell auf diesen SMTP AUTH Missbrauch reagiert, oder das eine entsprechende logische Verknüpfung von AUTH-Status, client-IP und Varianz bzw. Gewohnheit herstellt.
Wenn Du programmieren kannst, kannst Du so ein Tool herstellen und es über das Postfix policy delegation protocol oder als MILTER ansprechen und in Postfix einbinden.
p@rick
Hallo Thomas, hallo Leute,
Am Montag, 14. Oktober 2013 schrieb Thomas Krause via postfix-users:
mir fällt dazu nur folgende Logik ein (wie man die aber programmiermäßig umsetzen soll ...):
wenn ein user sich innerhalb einer kurzen Zeitspanne von unterschiedlichen IP's erfolgreich authentifiziert, muss es sich um einen ausspionierten Account handeln.
Oder er hat einfach nur zu viel Technik rumliegen und wechselt munter zwischen PC, Laptop, Smartphone etc. Die DSL-Zwangstrennung kommt noch erschwerend hinzu ;-)
Dieser wäre dann zu sperren:
Ich würde mindestens 3 verschiedene IPs als unverdächtig ansehen.
Wenn kurz hintereinander mehr als 10 verschiedene IPs auftauchen, dürfte das ein recht sicheres Zeichen für einen ausspionierten Account sein ;-)
Das Programmieren ist im Prinzip eine Fleißarbeit - das Log parsen, Username, IP und Zeitpunkt speichern (bzw. bei gleicher IP und Username den Zeitpunkt aktualisieren) - und ältere Einträge wieder löschen.
Eine kleine Datenbank würde sich dafür anbieten, mit den Spalten username, ip, timestamp. Dazu würde ich einen UNIQUE index (username,ip) (also beide Spalten) empfehlen - dann kannst Du einfach REPLACE INTO verwenden und sparst Dir den Check, ob Du jetzt INSERT oder UPDATE brauchst ;-)
Fürs Sperren kannst Du dann auf SELECT username FROM db WHERE COUNT(username) > 4 GROUP BY username zurückgreifen - das ergibt die vollständige Sperrliste.
Das Expire macht DELETE FROM db WHERE TIMESTAMPDIFF(MINUTE, timestamp, NOW()) > 180
Alles ungetestet, so in etwa müsste es aber funktionieren ;-)
Gruß
Christian Boltz
PS: Zufallssignatur ;-)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Am 14.10.2013 22:38, schrieb Thomas Krause via postfix-users:
Hallo Patick, mir fällt dazu nur folgende Logik ein (wie man die aber programmiermäßig umsetzen soll ...):
wenn ein user sich innerhalb einer kurzen Zeitspanne von unterschiedlichen IP's erfolgreich authentifiziert, muss es sich um einen ausspionierten Account handeln. Dieser wäre dann zu sperren:
grep accountname maillog.1 | grep sasl_username | awk '{ print $3 " " $7 }' | tail -15
so in der Art waere das machbar , man kann sicher was fuer seinen eigenen Server "schnitzen" , evtl mit fail2ban und oder direkt aus dem syslog, das Problem wird aber immer sein, die false positiv rate moeglichst klein zu halten, d. h je mehr Entscheidungs Parameter man zur Verfuegung hat ,umso besser, dafuer gibts aber derzeit noch nichts von der Stange
23:53:28 client=unknown[178.151.35.45], 23:53:32 client=unknown[37.115.176.79], 23:53:40 client=111-253-98-238.dynamic.hinet.net[111.253.98.238], 23:54:38 client=unknown[151.0.18.13], 23:55:08 client=113x37x209x166.ap113.ftth.ucom.ne.jp[113.37.209.166], 23:55:09 client=unknown[188.231.178.208], 23:55:11 client=unknown[109.72.118.241], 23:56:18 client=ip-89-102-193-16.net.upcbroadband.cz[89.102.193.16], 23:56:42 client=pool-109-191-26-58.is74.ru[109.191.26.58], 23:57:02 client=unknown[31.192.57.151], 23:58:05 client=111-253-98-238.dynamic.hinet.net[111.253.98.238], 23:59:08 client=unknown[151.0.18.13], 23:59:21 client=unknown[109.160.120.112], 23:59:29 client=unknown[95.179.17.5], 23:59:56 client=unknown[178.172.196.39],
und das passiert mir leider nicht zum ersten Mal.
Grüße, Thomas.
Am 14.10.2013 10:28, schrieb Patrick Ben Koetter via postfix-users:
Hallo Thomas,
- Thomas Krause via postfix-users toaster@chef-ingenieur.de:
in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam- Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf. Was kann ich dagegen machen? Einzig fällt mir ein, die Anzahl der pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu limitieren. Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu Lösugen (bzw. Ideen)?
Postfix bietet Dir keine bordeigenen Mittel an, um hier Missbrauch zu verhindern oder zu begrenzen.
Mir ist kein frei erhältliches Tool bekannt, das speziell auf diesen SMTP AUTH Missbrauch reagiert, oder das eine entsprechende logische Verknüpfung von AUTH-Status, client-IP und Varianz bzw. Gewohnheit herstellt.
Wenn Du programmieren kannst, kannst Du so ein Tool herstellen und es über das Postfix policy delegation protocol oder als MILTER ansprechen und in Postfix einbinden.
p@rick
_______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
- -- [*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Am 14.10.2013 10:00, schrieb Thomas Krause via postfix-users:
Hi, in der letzten Zeit habe ich gehäuft Probleme mit Spamversand über reguläre Mailkonten. Vermutlich ist der PC des Betreffenden nach Username/Paßwort ausspioniert wurden. Jedenfalls wird sich per SMTP-AUTH mit korrektem Usernamen u. Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden ganz unterschiedliche Absende-IP-Adressen verwendet.
warum ist das so, oder andersherum ist das zwingend notwendig dass der User ueberhaupt andere Mailadressen ( nicht seine eigene ) als Absender mit auth benutzen darf, die erlaubten Absenderadressen per user/auth sollten definiert sein.
Das Spam-
Volumen ist relativ gering, d.h. es fällt auch nicht gleich auf. Was kann ich dagegen machen?
Sorry da musst du radikal sein, der Client Rechner ist verseucht, Zugang also sperren und dafuer sorgen dass der Rechner gesaeubert wird normalerweise reicht passwort Aenderung, der "Kunde" meldet sich dann schon. Du laeufst Gefahr dass die Ip des Mailserver auf einer Rbl landet dann kann ihn niemand mehr vernuneftig nutzen.
Einzig fällt mir ein, die Anzahl der
pro Absende-Adresse versendeten Mails in Abhängigkeit der Zeit zu limitieren.
und was hilft das gegen Spam , ausser das evtl weniger versendet wird, aber schon eine Spam mail kann max Schaden verursachen
Ich wuerde per se z.B clamav-milter mit sanesecurity Antipishing Signaturen einsetzen ( alternativ amavis-milter ), bekannter Spam kann dann gar nicht erst eingeliefert werden ,auf deinem Mailserver , ist zwar keine Wunderloesung , aber die Chancen steigen fuer die Zukunft dass es schneller auffaellt.
Ansonsten sperre den User erstmal !!!
Ist das überhaupt mit Postfix umzusetzen? Habt Ihr dazu
Lösugen (bzw. Ideen)?
Viele Grüße, Thomas. _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
- -- [*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
* Robert Schetterer via postfix-users rs@sys4.de:
Sorry da musst du radikal sein, der Client Rechner ist verseucht, Zugang also sperren und dafuer sorgen dass der Rechner gesaeubert wird normalerweise reicht passwort Aenderung, der "Kunde" meldet sich dann schon. Du laeufst Gefahr dass die Ip des Mailserver auf einer Rbl landet dann kann ihn niemand mehr vernuneftig nutzen.
Richtig! Ich wurde wegen vermutlich EINER Spammail die wegen sowas über einen Account meines Userg ging bei einem ISP in US gesperrt und musste mich da dann manuell kompliziert wieder austragen lassen - alleine rauszubekommen warum ich gesperrt wurde war kaum möglich. So lange hatten alle meine User nicht mehr die Möglichkeit dorthin mails loszuwerden - gesperrt wurde auf IP Ebene.
Richtig ärgerlich ist es, wenn du auf einer dieser 'kommerziellen' Blacklisten landest, die Geld wollen um Dich auszutragen - es gibt leider immer noch Menschen, die diese Listen benutzen - ich habe dann die ausgehende IP meines MX geändert...
Ausgehend mails scannen, user blocken wenn spam oder malware rausgeht (und den leuten sagen sie sollen keine eicar testfiles verschicken) und deine postmaster und abuse adresse davon ausnehmen.
Ausserdem dafür sorgen, dass die Leute nur mails versenden können mit Adressen die ihnen 'gehören' - mache ich so, dass ich denselben lookup benutze wie für das Einsortieren in mailboxen, wenn leute mails empfangen für den alias, können sie auch damit versenden. Beugt auch Vertippern beim manuellen Konfigurieren der Adressen durch die User...
/Florian
Richtig ärgerlich ist es, wenn du auf einer dieser 'kommerziellen' Blacklisten landest, die Geld wollen um Dich auszutragen - es gibt leider immer noch Menschen, die diese Listen benutzen - ich habe dann die ausgehende IP meines MX geändert...
Jo, und irgendwann bist Du alle Deine IPs durch. Oder alternativ, ein Provider wie die Telekom sperrt mal kurz alle Netze Deines Providers und erwischt Dich mit. Da das dann alles auf IP-Ebene passiert, sind die ganzen Dinge wie SPF, DMARC und sonstiges völlig umsonst ... und dann erzählen die Vögel noch was von einem nationalen E-Mail-Netz ... Rant Ende.
rm
* Ralph J.Mayer via postfix-users rmayer@nerd-residenz.de:
Richtig ärgerlich ist es, wenn du auf einer dieser 'kommerziellen' Blacklisten landest, die Geld wollen um Dich auszutragen - es gibt leider immer noch Menschen, die diese Listen benutzen - ich habe dann die ausgehende IP meines MX geändert...
Jo, und irgendwann bist Du alle Deine IPs durch. Oder alternativ, ein Provider wie die Telekom sperrt mal kurz alle Netze Deines Providers und erwischt Dich mit. Da das dann alles auf IP-Ebene passiert, sind die ganzen Dinge wie SPF, DMARC und sonstiges völlig umsonst ... und dann erzählen die Vögel noch was von einem nationalen E-Mail-Netz ... Rant Ende.
Das ist noch schlimmer alles - sie lehnen die mails ja mit einem 5xx ab - damit wirft mailman die leute aus den mailinglisten und ich hab sie nicht mehr in meiner queue, kann also keinen transport mehr woanders hin setzen und die mails umrouten - ich werf sie ja weg.
*auuugghh*
participants (8)
-
Christian Boltz via postfix-users -
Florian Streibelt via postfix-users
-
Jochen Fahrner via postfix-users
-
Klaus Rörig via postfix-users
-
Patrick Ben Koetter via postfix-users
-
Ralph J.Mayer via postfix-users
-
Robert Schetterer via postfix-users
-
Thomas Krause via postfix-users