Frage zu smtp auth & iamp

Achim Lammerts ml-pbu at syntaxys.de
Mi Jan 31 15:12:56 CET 2024 

Nun, wenn man das neu aufsetzt und die User auch ihre Konten neu 
konfigurieren müssen, dann macht es Sinn, von den Standardports 465, 
110, 143, 993, 995 wegzukommen. In diesem Fall sollte man jedoch auch 
weitere Portscans erschweren, sonst werden die Dienste zeitnah auf den 
neuen Ports gefunden. Das kann gleich beim Booten des Servers gesetzt 
werden:

up ipset create port_scanners hash:ip family inet hashsize 32768 maxelem 
65536 timeout 600
up ipset create scanned_ports hash:ip,port family inet hashsize 32768 
maxelem 65536 timeout 60
up iptables-restore < /etc/iptables/rules.v4

In der /etc/iptables/rules.v4 habe ich dann u. a. diese Anweisungen:

*filter
:INPUT DROP
…
:LOG_INVALID - [0:0]
:LOG_SCANNER - [0:0]
…

# Regeln für lokale Subnetze
-A INPUT ! -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -j ACCEPT
-A INPUT -s 10.0.0.0/16 -j ACCEPT
-A INPUT -i lo -j ACCEPT

# invalide Pakete loggen und verwerfen
-A INPUT -m state --state INVALID -j LOG_INVALID
-A LOG_INVALID -m limit --limit 2/min -j LOG --log-prefix "[netfilter] 
Dropped Invalid: "
-A LOG_INVALID -j DROP

# Grundkonfiguration
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
…
-A INPUT -p tcp -m tcp --dport 80 -m comment --comment "http" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m comment --comment "https" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m comment --comment "smtp" -j ACCEPT
…

# Portscanner abfangen
-A INPUT -m state --state NEW -m set ! --match-set scanned_ports src,dst 
-m hashlimit --hashlimit-above 1/hour --hashlimit-burst 5 
--hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name portscan 
--hashlimit-htable-expire 10000 -j SET --add-set port_scanners src --exist
-A INPUT -m state --state NEW -m set --match-set port_scanners src -j 
LOG_SCANNER
-A INPUT -m state --state NEW -j SET --add-set scanned_ports src,dst

…

-A LOG_SCANNER -m limit --limit 2/min -j LOG --log-prefix "[netfilter] 
Dropped Scanner: "
-A LOG_SCANNER -j DROP

…

COMMIT

In Verbindung mit IPset-Blacklists der allgemein bekannten Nervensägen 
bekommt man etwas Ruhe in die Kiste. Ich lasse auch noch f2b auf das 
syslog schauen und Wiederholungstäter landen damit im recidive jail.

Ansonsten:
Was ohne Aufwand bei den Usern gut funktioniert, ist die Bindung der 
wichtigen Dienste ausschliesslich an IPv6. Ich habe meinen vServer mit 
einem 64er Subnetz an die Wildnis angebunden und benutze für jeden 
Dienst eine eigene Adresse. Weder hatte ich bisher Probleme, diese 
Dienste zu erreichen, noch wurden diese durch Portscans entdeckt. Die 
allermeisten Angriffe habe ich über IPv4 zu verzeichnen.

LG/A

Am 30.01.24 um 16:30 schrieb Peer-Joachim Koch via Postfixbuch-users:
> Hallo,
> 
> kurze Frage in die Runde:
> Welche technischen Möglichkeiten gibt es, um smtp und imap 
> login-Versuche zu reduzieren und
> damit das Risiko zu senken. Fail2ban ist ja nur noch teilweise 
> erfolgreich...
> Allerdings sollte es eine Lösung sein, die man mit ein paar (xx-xxx) 
> Nutzern umsetzen kann,
> die teilweise nicht sooo  IT  affin  sind  ;)
> Eine sichere Lösung die keiner verwendet(weil zu kompliziert), die Hilft 
> einem auch nicht wirklich weiter.
> 

-- 
Wietse, I am so grateful.

Mehr Informationen über die Mailingliste Postfixbuch-users