Angriff auf nicht konfigurierten Mailserver. Vorgehensweise?

sTaN

Member
Hallo liebe Community,

seit einiger Zeit bin ich im Besitz eines VServers und habe sämtliche Sicherheitsvorkehrungen getroffen.
Zum Mailserver bin ich bisher noch nicht gekommen, habe aber täglich die Logfils durchstöbert und bin ebenso auf diverse Angriffe gestoßen:

Code:
Jul 12 06:55:07 pop3d: IMAP connect from @ [41.207.186.37]checkmailpasswd: FAILED: robert - short names not allowed from @ [41.207.186.37]ERR: LOGIN FAILED, ip=[41.207.186.37]
Jul 12 06:55:12 pop3d: IMAP connect from @ [41.207.186.37]checkmailpasswd: FAILED: sara - short names not allowed from @ [41.207.186.37]ERR: LOGIN FAILED, ip=[41.207.186.37]
Jul 12 06:55:23 pop3d: IMAP connect from @ [41.207.186.37]checkmailpasswd: FAILED: support123 - short names not allowed from @ [41.207.186.37]ERR: LOGIN FAILED, ip=[41.207.186.37]
Jul 12 06:55:29 pop3d: IMAP connect from @ [41.207.186.37]checkmailpasswd: FAILED: support - short names not allowed from @ [41.207.186.37]ERR: LOGIN FAILED, ip=[41.207.186.37]
Jul 12 06:55:34 pop3d: IMAP connect from @ [41.207.186.37]checkmailpasswd: FAILED: jnanchito - short names not allowed from @ [41.207.186.37]ERR: LOGIN FAILED, ip=[41.207.186.37]

Die Liste ist noch viiel länger. Aber diese waren nur am 12.07 zu erkennen.
Bisher habe ich nur Plesk 9.2 und Debian auf akuellem Stand bzw. Standardsachen wie Apache etc.

Welche Vorkehrungen kann ich noch Seitens Mailserver treffen um solche Angriffe zu vermeiden?

Viele Grüße
 
Last edited by a moderator:
Schaue dir erst einmal dein Log für SSH-Verbindungen an :D

(falls du Post 22 verwendest)

Solche Angriffe auf (v)Server laufen meist authorisiert ab und sind in der Regel unbedenklich, wenn du sichere Passwörter verwendest und einige Dinge beachtest (z.B. Fail2Ban oder SSH-Port auf eine exotisch hohe Number verlegen etc.).
 
@Valentin, hier gehts nicht um den sshd sondern um den pop3d. ;)

Den Port kann er da nicht mal eben ändern.
 
Das war ein Beispiel um deutlich zu machen, dass sein Server ständig Angriffen ausgesetzt sein könnte, z.B. auch der SSH-Dienst und somit die Angriffe auf den Maildienst nichts "Besonderes" sind :)
 
Wie wertet ihr Logfiles aus?

Hallo,

SSH ist sauber.
Sicherheitsvorkehrungen was SSH und Fail2Ban anbelangen sind bereits am Anfang getroffen worden.
Dachte für den pop3d gibt es noch weitere Vorkehrungen, die getroffen werden können.

Ansonsten vielen Dank für die Anworten!

Des weiteren würde mich mal interessieren, wie ihr eure Logfiles auswertet?
Momentan stöber ich mich per SSH über den vi Editor durch die Files.
Dadurch das der root Login ja deaktiviert ist, komme ich nur mit meinem User ohne rechte auf den Server (per SFTP zum Beispiel) und habe dabei ja keine Leserechte auf die Files.
Gibt es eine weitere vernünftige Lösung die Logs per FTP etc. zu durchforsten?

Grüße,
sTaN
 
Last edited by a moderator:
Hallo,

SSH ist sauber.
Sicherheitsvorkehrungen was SSH und Fail2Ban anbelangen sind bereits am Anfang getroffen worden.
Dachte für den pop3d gibt es noch weitere Vorkehrungen, die getroffen werden können.

DU hast mich mit deinem Posting aufmerksam gemacht. Wollte das auch schon länger mal in Erfahrung bringen.

Anstatt fail2ban hahe ich anfangs Denyhost und Logwatch installiert und bin nun auch noch mal auf die mailsicherheit in konflikt gestosen und möchte da nun auch noch weitere Sicherheitsmerkmale umsetzen.

Es soll eine Methode geben, den Mailversand von aussen zu unterbinden

QUELLE

Das habe ich noch nicht ganz verstanden, inwieweit da der Zugriff von aussen eingeschränkt ist. Aber ist denke ich mal ein weiterer anhaltspunkt


Kann dazu ein versierter Mailserver Kenner etwas sagen?



Ist Denyhost in Bezug auf Mailserver ebenso eine Alternative zu fail2ban oder greift fail2ban in mehr Bereiche ein?
 
Des weiteren würde mich mal interessieren, wie ihr eure Logfiles auswertet?
Hierfür gibt es Logcheck und Logwatch. Wobei mir hier Logcheck ziemlich zusagt, da man hier uninteressante Logeinträge ziemlich einfach eliminieren kann.
Ausserdem ist OSSEC noch ziemlich interessant,

Gruß Mordor
 
Wenn du keine E-Mails empfangen möchtest, weshalb betreibst du dann einen MTA an einem öffentlichen Netzwerk?

So meinte ich das nicht. Ich entnahm der Source die ich angegeben habe, das der Mailversand von aussen eingedrungenen unterbunden werden kann indem man Einstellungen vornimmt. Nicht jedoch, dass Mails von aussen die einkommen nicht empfangen werden sollen | oder verstehe ich dich jetzt falsch? Kommt öfters vor xD
 
Die Konfiguration auf der von dir genannten Seite verhindert effektiv, dass von außen E-Mails eingeliefert werden können. Damit können auch andere MTAs keine E-Mails mehr einliefern und du empfängst folgerichtig auch keine Nachrichten mehr.
 
...das der Mailversand von aussen eingedrungenen unterbunden werden kann indem man Einstellungen vornimmt.
Das Stichwort hier heißt "open relay". Man sollte unbedingt einstellen, dass der Server nicht relayt (bzw. das nur für authorisierte und authentifizierte Accounts macht). Das sollte ausreichen.
 
Last edited by a moderator:
@Mordor

Danke für die guten Tipps OSSEC macht auf mich persönlich einen guten Eindruck. Das werde ich mir mal genauer anschauen.
Um vorab mal wesentliche Unterschiede zwischen OSSEC und Logcheck zu klären:

Logcheck ermöglicht das Filtern von Logs, beispielsweise CRON Tasks.
Ist dies mit OSSEC auch möglich?
Welche wichtigen Unterschiede sind noch nennenswert?

Grüße
 
Ossec ist mehr als Logcheck. Logcheck gibt ja nur die Logfiledaten in einenr Mail zurrück, die man auch haben will.
Ossec sucht hingegen nach Root-Kits, verschickt alert-Mails wenn bestimmte Dinge in den Logs auftauchen, sperrt IPs, wenn diese bestimmte Regel verletzen verletzen und ist einfach erweiterbar.
 
Suse - Mailserver absichern

Hallo zusammen,

mit der genannten Anleitung soll erreicht werden, dass der Server kein Open-Relay ist. Der dieser Anleitung vorausgehende Artikel beschreibt lediglich, wie ein einfacher Mailserver eingerichtet werden kann, mit dem die lokal auf diesem Server eingerichteten Benutzer/innen sich E-Mails schicken können (beispielsweise Zuhause, mehrere Benutzer/innen/Computer; steht auch im Text).
Suse - Mailserver - Installation
Das alles ist eher zu Üben uns Kennenlernen gedacht.
Wenn die Maschine dann doch irgendwie am WWW hängt, soll sie einigermaßen davor geschützt sein, als Spammailer mißbraucht zu werden.

Viele Grüße

littlenemo
 
Back
Top