[ext] Hook nach reject

Achim Lammerts ml-pbu at syntaxys.de
Di Okt 17 08:29:21 CEST 2023 

Mir wäre es recht, wenn man das direkt mit Postfix steuern könnte, ohne 
f2b bemühen zu müssen.

Ich würde gerne AUTH an 465/587 z. B. mit einer PubkeyAuthentication 
weiter absichern, so wie man das beim sshd realisieren kann. Geht das, 
und wie?
Gut funktioniert z. B. sicher auch, AUTH nur an einer IPv6 anzubieten. 
Diese Adressbereiche werden weniger gescant und beim sshd habe ich mit 
diesem Konzept seither mehr Ruhe.
Beides würde jedoch Änderungen bei den MUAs nach sich ziehen.

Die meisten AUTH requests habe ich von clients ohne PTR record. Diese 
kann man pauschal auch an den AUTH Ports abweisen, das reduziert den 
Traffic spürbar:

smtps     inet  n       -       y       -       -       smtpd
   -o syslog_name=postfix/smtps
   -o smtpd_helo_required=yes
   -o smtpd_helo_restrictions=reject_unknown_helo_hostname
   …

Gibt's eine Möglichkeit, per Firewall jegliche Clients ohne PTR record 
abzuweisen? Zwar macht iptables reverse lookups, aber IPs bei NULL-Wert 
automatisch damit zu blocken, funktioniert nicht, oder? Ich habe dazu 
nichts gefunden.

Den Traffic am Standardport mit Whitelisting zu reduzieren bekommt man 
wohl besser über die Firewall hin. Man könnte die relevanten 
Adressbereiche in ein IPset laden, für das die AUTH ports geöffnet sind. 
Bekommt man zuverlässige Listen über den Adressbereich von z. B. der 
Telekom?

Am 16.10.23 um 12:11 schrieb Bjoern Buerger via Postfixbuch-users:
> On 16.10.23 10:09, Achim Lammerts via Postfixbuch-users wrote:
>> Ich habe seit einiger Zeit täglich eine Flut an AUTH requests und bin 
>> schon dazu übergegangen, ganze ASNs nach null zu routen, um das 
>> einzudämmen.
> 
> Ich habe mich auch schon gefragt, was dafür eine schöne
> Lösung wäre. fail2ban erscheint mir mittlerweise zu
> ungepflegt. Seit wir mit dem fail2ban ipv6 Support
> massive Probleme hatten, habe ich das überall rausgenommen,
> aber seither noch keine schöne Alternative gefunden.
> 
> Die Zugriffe kommen in kurzen, schnellen, Salven
> und dann wird die IP gewechselt. Ich nullroute den
> Kram momentan vorallem, um etwas mehr Ruhe in die
> Logs zu bekommen. Die ca. 6k IPs der letzten
> Wochen kommen fast ausschließlich aus .cn und sobald die
> Reaktionszeit über 3 Sekunden geht, nimmt der Nutzen
> Rapide ab.
> 
> Dummerweise können wir nicht einfach pauschal die kompletten
> Subnetze / ASe nullrouten, weil wir Produktiontraffic aus der
> selben Richtung haben. Das ist mir zu heiss.
> 
>> Eine bessere Lösung wäre, AUTH nur per Whitelisting für bestimmte 
>> Clients anzubieten. Bekommt man das hin?
>> Welche Strategie könnte man sonst noch verfolgen?
> 
> "Sowas wie fail2ban in modern" wäre eigentlich ideal
> 
> LG,
> Bjørn

-- 
Wietse, I am so grateful.

Mehr Informationen über die Mailingliste Postfixbuch-users