530er Spam

[servo]

Hallo,

was könnte man denn gegen Spam bzw. Versuche von Bots unternehmen die mit "meinen" eigenen Adressen senden wollen aber logischerweise nicht können, weil sie ja keine Logindaten haben.
Hab seit 2Monaten 2 Accounts wo lustig versucht wird zu senden. Kommt natürlich immer 530ERROR. 1000pro Tag würde ich mal tippen. Die IPs blocken bringt ja nicht viel, sind ja Dynamische. Jeden Provider anschreiben ist auch recht witzlos oder? Was machen denn andere so, einfach laufen lassen?
Ich mein der Botbetreiber muss doch langsam realisieren das er nicht ohne Login senden kann.

 

[Deleted member 11740]

Du könntest fail2ban nutzen, um die Bots automatisiert zu bannen.

https://www.digitalocean.com/commun...n-apache-server-with-fail2ban-on-ubuntu-14-04

 

[GwenDragon]

fail2ban hat für viele SMTP-Server Regeln, bei denen unerlaubte Zugriffe nach 3–5 Versuchen eine bestimmte Zeit geblockt werden; passieren diese Versuche am Tag öfters, gibt es auch schon mal einen tagelangen Block.
http://www.fail2ban.org/wiki/index.php/HOWTOs

 

[Deleted member 11740]

Ach, geht es um SMTP? Naja, auch dort ist 530 ein fehlerhafter Login. Wusste gar nicht, dass HTTP-Error-Codes mit manchen SMTP-Error-Codes deckungsgleich sind.

 

[GwenDragon]

@DeaD_EyE

Ach, geht es um SMTP?

Oben im Forum steht doch die Rubrik:
Server Support Forum > Serverdienste > Mail > 530er Spam

Gönn dir mal einen starken Kaffee

@DeaD_EyE

(…) auch dort ist 530 ein fehlerhafter Login. Wusste gar nicht, dass HTTP-Error-Codes mit manchen SMTP-Error-Codes deckungsgleich (…)

Wie? HTTP Error 530, gibt es? Echt, was soll der denn sein?
Wo ist der definiert?
Ich finde nix:
https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
https://www.iana.org/assignments/http-status-codes/http-status-codes.xhtml

Ich reich dir mal ein paar Wachmacher rüber: ️️️️️

 

[d4f]

Aus Erfahrung, setze die fail2ban Werte nicht zu niedrig, insbesondere wenn Familie/Kollegen/Mitarbeiter/Kunden/... auf dem Server liegen. Email-Programme haben die dumme Angewohnheit oft mit mehreren Zugriffsmethoden zu versuchen und die Leute klicken danach reflexartig auf retry so dass man schnell auf 10-20 Loginversuchen ist.

[Halb-OT]
Nach GwenDragon's Kaffee: 5XX heisst bei HTTP ein Serverfehler, bei SMTP ein nicht-temporärer Fehler in der Transaktion.

 

[servo]

Danke für die Antworten. Stimmt Fail2Ban gab es ja, darauf bin ich ja gar nicht gekommen weil die Bots einfach nur versuchen einzuliefern ohne Login und seltenst doppelte IPs vorkommen (komischerweise), sofern ich das jetzt mal fix in den Log's überblicke.

Für Fehlerhafte Loginversuche hab ich ja schon ein Skript aber das könnte ich auch abwandeln bzw. anpassen. Gibt's bestimmt auch was auf Windowsbasis (arbeite mit hMailserver) oder ich baue mir ein kleines Skript, mal schauen.

 

[GwenDragon]

Fail2ban wird dann zu einem Blockierungsproblem bei Kunden/Famile/Nutzern/etc. wenn z. B. im Mailclient wie bei Thunderbird neue Konten angelegt werden und der Client dabei versucht die Ports, Verschlüsselung und Authentifizierung durch zu probieren.
OK, eine Sperre von 10 Minuten ist auch nicht so schlimm, wird aber zu Anrufen führen, wenn die Nutzenden nicht darauf hingewiesen werden.

Es kann deswegen sinnvoll sein im Jail des Fail2ban das maxretry auf 10 hoch zu setzen.
Wenn man natürlich Autoconfig für die Mailcients bereit stellt, ist es nicht so notwendig.

 

[servo]

Ich hab jetzt mal fix ein VBScript getippt und schau mir genau die Dinger an. Vielleicht kann ich so noch besser filtern, nach Helo oder Ähnlichem, mal schauen was das log so produziert.

 

[Deleted member 11740]

Hab schon zwei Kannen Kaffee getrunken. Irgendwas stimmt wohl mit dem Kaffee nicht (zu schwach). Die Rubrik hab ich ganz übersehen.

Bin mittlerweile schon gewohnt, dass notorisch Fragen über HTTP und SSL kommen. Vielleicht ist es auch nur Einbildung meinerseits. In anderen Worten: Klickzombie hat neuen Beitrag gefunden, Klickzombie muss antworten, Klickzombie ist jetzt müde.

Wie auch immer, den HTTP-Error Code 530 gibt es wohl doch nicht.

@servo: Ja, vorher testen ist immer gut. So kann man noch weiter reduzieren bis man die finale Regel hat.

 

[Joe User]

was könnte man denn gegen Spam bzw. Versuche von Bots unternehmen die mit "meinen" eigenen Adressen senden wollen aber logischerweise nicht können, weil sie ja keine Logindaten haben.

Relaying (versenden) ausschliesslich mittels SMTP-AUTH auf :submission (Port 587) über erzwungenem TLS/SSL zulassen.
Relay-Versuche dummer Bots kannst Du dann einfach ignorieren, denn per :smtp (Port 25) ist kein Relaying mehr möglich und per :submission über TLS/SSL mögen Bots im Regelfall nicht.

1000pro Tag würde ich mal tippen.

Scheinst ja ein lohnendes Ziel zu sein
Ernsthaft, das ist nicht viel. Das schluckt mein Postfix gerne mal pro Stunde.

Die IPs blocken bringt ja nicht viel, sind ja Dynamische.

Richtig, ist eine unnötige Ressourcenverschwendung.

Jeden Provider anschreiben ist auch recht witzlos oder?

Ja, macht Dich nur unbeliebt und bringt Dich irgendwann auf Blacklists, denn dann bist Du der Spammer.

Was machen denn andere so, einfach laufen lassen?

Ja, stört doch nicht.

Ich mein der Botbetreiber muss doch langsam realisieren das er nicht ohne Login senden kann.

Bots und deren Betreiber lesen keine Fehlermeldungen oder Logs, wozu auch, kostet nur unnötig Zeit aka Geld.



Sorge für sichere Passworte (min 12 zufällige Zeichen) oder nutze Clientzertifikate und konfiguriere Deine Dienste sicher.



BTW: fail2ban sucks, don't use it in production...