Hallo Leute, ich habe mal eine kleine Frage. Im Dovecot ist "mail_max_userip_connections" Standardmäßig auf 10 Verbindungen beschränkt.
Hier bei uns in der Firma, greifen 7 Clients gleichzeitig via IMAP auf mehrere Postfächer zu. Die Standardeinstellung vom Thunderbird sagt, dass 5 Verbindungen maximal pro Postfach aufgebaut werden. Somit müsste ich schon mal locker 35 Verbindungen gleichzeitig, pro IP zulassen.
Ist es ein großes Risiko, wenn man diesen Wert jetzt auf 50 oder 70 anhebt oder seht ihr das ganze als großes Sicherheitsrisiko wegen Angriffen etc.? Und wenn ja, wie kann man das am elegantesten Lösen?
Gruß, Domi
p.s. Sagt mal, gibt es eigentlich eine empfehlenswerte internationale Linux Community die ich in speziellen Fällen auch mal belästigen könnte?
StackExchange hat für eigentlich so ziemlich jedes relevante Thema eine Kategorie in einer von deren 129 Communities. Die IT-bestbekannten sind wohl je nach Thema Stackoverflow, Serverfault und Superuser sowie für Ubuntu spezifisch AskUbuntu.
Was definierst du ein Sicherheitsrisiko? Bruteforce-Angriffe o.ä. lassen sich zwar gut parallelisieren aber genau so gut mit Bruteforce-Erkennung (Stichwort fail2ban) erkennen. Bliebe noch das Problem von L7 DoS durch Belegen aller offenen Slots aber da fragt sich mal zuerst: wem würde sowas nützen? Generell sehe ich das Risiko zwischen 5 und 50 möglichen Verbindungen eher als niedrig an.
Hallo d4f, danke für die Infos. Fail2Ban ist drauf und funktioniert auch recht gut, wenn ich mir die Logs manchmal so anschaue
Aber ja, so etwas wie Bruteforce hatte ich im Hinterkopf. Alternativ würde mir sonst noch einfallen, dass zu viele Verbindungen gleichzeitig, auch den Server irgendwann mal in die Knie bringen könnten. Aber wenn ich mit 'htop' so anschaue und die Auslastung des Servers, gehe ich mal nicht davon aus dass das so schnell passiert
Gut gut, dann setze ich den Wert einfach mal hoch, damit wir hier in der Firma problemlos die Mails abrufen können. Es muss ja nicht sein, dass es einen "Timeout" gibt, nur weil das Limit zu gering ist.
Genau, das hatte ich ja auch schon angesprochen. Hier gäbe es Timeouts für nicht authentisierte Benutzer und iptables-Regeln (xt_recent) um Verbindungs-Fluten zu verhindern. Nicht perfekt aber für den potentiellen Gelegenheitsflooding eines gelangweilten Skriptkiddies ausreichend. Hier würde ich mir allerdings erst weitere Gedanken machen falls das je eintreten sollte.
Zumal wenn du IMAP-Push (aka IMAP-Idle) einsetzt, so wirst du jede Menge offene IMAP-Verbindungen haben. Genauer gesagt eine Verbindung je "gepushtem" IMAP-Ordner, das Protokoll kann leider nicht besser. Dovecot stört das im Gegensatz zu Courier keineswegs aber es könnte beim Überprüfen der Server erstaunen oder erschrecken.
Ich musste eben erst einmal Dr. Google nach "IMAP-IDLE" befragen und habe dann im Thunderbird einmal nachgeschaut. Aktiv ist dieses nicht
Aber vielleicht könnte das auch eine Lösung / Option für mein Problem aus dem verlinkten Topic in Post 1 sein. Hat imap-idle denn auch Vorteile oder nur den Nachteil, dass es sehr viele Verbindungen aufbaut?
Nun der Vorteil ist dass du (fast) in Echtzeit einkommende Emails siehst ohne dass dein Client alle X Minuten eine Anfrage stellen muss.
Da du spezifisch von einer Firma sprichst ist das recht vorteilhaft (zumal bei "sende mir mal schnell...." ) und belastet weder Internetanbindung noch Dovecot oder den Client nennenswert.
Alles klärchen und vielen Dank schon mal für die Informationen. Sollte man für imap-idle am Dovecot noch etwas anpassen oder verändern um das zu optimieren / aktivieren?
Ich habe es eben mal über mein Notebook und Büro Client getestet (beides steht neben mir) und eine Mail als Gelesen / Ungelesen markiert und am anderen Gerät ist nichts passiert. Um es genauer zu beschreiben,
- Mail auf PC als gelesen Markiert (am Notebook veränderte sich nichts)
- eine andere Mail auf dem Notebook als Gelesen Markiert (am PC veränderte sich nichts)
Jetzt kommt der komische Teil... wenn ich eine Mail (z.B. Mail 5) als gelesen markiere, tut sich auf dem Notebook noch nichts. Wenn ich diese nun aber auf dem Notebook gelesen / ungelesen schalte, sind sie Synchron und man sieht auf dem anderen Gerät das sich etwas tut
