AW: [ext] Hook nach reject

Daniel daniel at mail24.vip
Di Okt 17 08:54:38 CEST 2023 

Verwende doch DNSWL bzw. Absusix

https://www.dnswl.org/?page_id=15
https://docs.abusix.com/abusix-mail-intelligence/gbG8EcJ3x3fSUv8cMZLiwA/production-zones/iCox1CE9UoWUhGtRWdSaNm#dnswl-list

Absuix ist guter Dienst, liefert mehr als Spamhaus, und filtert noch so einiges Weg in DNSBL.

Unter 5000 Abfragen kostenlos, reicht für kleine Server bzw. Büros mit Hand voll Mitarbeitern.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Achim Lammerts via Postfixbuch-users
Gesendet: Dienstag, 17. Oktober 2023 08:29
An: postfixbuch-users at listen.jpberlin.de
Cc: Achim Lammerts <ml-pbu at syntaxys.de>
Betreff: Re: [ext] Hook nach reject

Mir wäre es recht, wenn man das direkt mit Postfix steuern könnte, ohne f2b bemühen zu müssen.

Ich würde gerne AUTH an 465/587 z. B. mit einer PubkeyAuthentication weiter absichern, so wie man das beim sshd realisieren kann. Geht das, und wie?
Gut funktioniert z. B. sicher auch, AUTH nur an einer IPv6 anzubieten. 
Diese Adressbereiche werden weniger gescant und beim sshd habe ich mit diesem Konzept seither mehr Ruhe.
Beides würde jedoch Änderungen bei den MUAs nach sich ziehen.

Die meisten AUTH requests habe ich von clients ohne PTR record. Diese kann man pauschal auch an den AUTH Ports abweisen, das reduziert den Traffic spürbar:

smtps     inet  n       -       y       -       -       smtpd
   -o syslog_name=postfix/smtps
   -o smtpd_helo_required=yes
   -o smtpd_helo_restrictions=reject_unknown_helo_hostname
   …

Gibt's eine Möglichkeit, per Firewall jegliche Clients ohne PTR record abzuweisen? Zwar macht iptables reverse lookups, aber IPs bei NULL-Wert automatisch damit zu blocken, funktioniert nicht, oder? Ich habe dazu nichts gefunden.

Den Traffic am Standardport mit Whitelisting zu reduzieren bekommt man wohl besser über die Firewall hin. Man könnte die relevanten Adressbereiche in ein IPset laden, für das die AUTH ports geöffnet sind. 
Bekommt man zuverlässige Listen über den Adressbereich von z. B. der Telekom?

Am 16.10.23 um 12:11 schrieb Bjoern Buerger via Postfixbuch-users:
> On 16.10.23 10:09, Achim Lammerts via Postfixbuch-users wrote:
>> Ich habe seit einiger Zeit täglich eine Flut an AUTH requests und bin 
>> schon dazu übergegangen, ganze ASNs nach null zu routen, um das 
>> einzudämmen.
> 
> Ich habe mich auch schon gefragt, was dafür eine schöne Lösung wäre. 
> fail2ban erscheint mir mittlerweise zu ungepflegt. Seit wir mit dem 
> fail2ban ipv6 Support massive Probleme hatten, habe ich das überall 
> rausgenommen, aber seither noch keine schöne Alternative gefunden.
> 
> Die Zugriffe kommen in kurzen, schnellen, Salven und dann wird die IP 
> gewechselt. Ich nullroute den Kram momentan vorallem, um etwas mehr 
> Ruhe in die Logs zu bekommen. Die ca. 6k IPs der letzten Wochen kommen 
> fast ausschließlich aus .cn und sobald die Reaktionszeit über 3 
> Sekunden geht, nimmt der Nutzen Rapide ab.
> 
> Dummerweise können wir nicht einfach pauschal die kompletten Subnetze 
> / ASe nullrouten, weil wir Produktiontraffic aus der selben Richtung 
> haben. Das ist mir zu heiss.
> 
>> Eine bessere Lösung wäre, AUTH nur per Whitelisting für bestimmte 
>> Clients anzubieten. Bekommt man das hin?
>> Welche Strategie könnte man sonst noch verfolgen?
> 
> "Sowas wie fail2ban in modern" wäre eigentlich ideal
> 
> LG,
> Bjørn

--
Wietse, I am so grateful.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 6016 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20231017/233391ce/attachment-0001.p7s>

Mehr Informationen über die Mailingliste Postfixbuch-users