[Postfixbuch-users] mail-relay hacker finden / fangen

Ralf Kayser ralf at cameron.de
Di Apr 27 16:01:55 CEST 2004


Hi,

> 
> Du hast eben nicht gesagt, weshalb DU davon ausgehst dass es ein
> "manueller Angriff" ist. Genau deshalb musste ich nachfragen.
> 
> > >
> > > Was heisst am "AUTH scheitert"?
> > >
> > hast du keinen (Postfix)-Mailserver? Falls ja, braucht man da
> > kein Passwort?
> > Falls Mailserver ohne Passwort, welche Personen und hacker
> > und Würmer können den benutzen?
> > ...
> 
> Doch ich betreue Mail Server, ja darunter gibt es auch einige
> Postfix Mailserver. Nein, nicht auf allen Servern ist STMP Auth
> installiert. Benutzt werden kann er von den Personen die im
> passenden Netz liegen, dafür gibt es den Parameter $mynetworks.
> Jeder Angreifer der nur gut genug sein Handwerk versteht kann
> wahrscheinlich über den Mailserver verschicken. Es tut mir leid
> wenn ich Dich enttäuschen muss, dass ist aber auch bei deinem
> Mailserver und jedem anderen Mailserver auf der Welt so.
> Da Würmer gewöhnlicherweise eine eigene STMP Routine mitbringen
> und sich direkt verschicken geb ich dir auf die Würmer Frage
> keine Antwort und lass dich selber überlegen.

Sorry, Marc, die Frage mit den Würmern ist -relativ- oder partitiell gesehen
berechtigt.
Wenn man z.B. schaut, wie viele Spam/Viren-Mails mit dem eigenen
Hostnamen/der eigenen IP reinkommen oder ein großes 'O' im From (also
'FrOm') haben oder das bei einigen Wurmmails immer die selben fake-Rec-froms
drin sind, dann erkennt man daran ein System, das mit geeigneten
Header-Checks abzublocken ist. Im internen Netz kann man solche Dinge
natürlich auch abblocken (wenn man weiss, wodurch sie verursacht wurden). In
soweit (allerdings nur in soweit) hat die Frage mit Würmern scho Sinn
gehabt.


> > Apr 2x hh.m2:20 postfix postfix/smtpd[25652]: disconnect from
> > unknown[a.b.c.d]
> > und die Anzahl der LOGIN's variiert. Und natürlich macht er
> > seine "Tippfehler" beim Passwort!
> > ...
> 
> Jetzt kommst Du mal langsam mit Fakten.
> Wir wissen aber immer noch nicht ob ständig das gleiche Passwort
> übergeben wird oder welche Passwörter durchprobiert werden. Dabei

Bei mir wechselnde Passworte, wobei ich noch kein schlüssiges Muster erkannt
hab. Teilweise sieht es Wörterbuchmäßig teilweise aber auch
try-error-Muster-mäßig aus.

> 
> > Und Zeit haben wir (alle) keine, außer dem hacker. Aber
> > Sicherheit wär wichtig, und auch, daß nicht Hinz und Kunz meint, "im
> > Kindernet passiert mir nix". (TENET = bayrisch: SO NET)
> 
> Wenn Du die IP Adressen hast, dann wäre doch z.B. mal eine whois
> Abfrage bei RIPE angebracht. Nicht umsonst sind in den whois
> Datenbanken E-Mail Adressen hinterlegt, die man im Falle eines
> Missbrauchs kontaktieren kann.
> Erwarte jedoch nicht zuviel, nicht jeder Provider ist sehr
> hilfsbereit.

Jep. T-Offline ist ein Sauladen der erst die Polizei/Anzeige braucht. Arcor
ist netter ;)

Derzeit sind es bei mir übrigens t-offline, arcor, att, teles.br-User (meist
in der xbl scho gelistet) die sich die Zähne ausbeissen.

Gruß Ralf

b.t.w.: Gibbet eine BL, die man abfragen/füttern kann, wenn jemand einen
Relayversuch macht?





Mehr Informationen über die Mailingliste Postfixbuch-users