[Postfixbuch-users] Fail2ban als Spoiler für Postfix

Uwe Driessen driessen at fblan.de
Do Mai 24 11:05:42 CEST 2007


Robert Felber schrieb: 
> On Thu, May 24, 2007 at 07:59:33AM +0200, Andreas Pothe wrote:
> > Moin,
> >
> > > Bekommt der einliefernde eine Iptables sperre von 20 min (bin
> > > sogar versucht eine Woche
> > > einzutragen aber wenn dann erst nach nem Testlauf von 4
> > > Wochen).
> >
> > Ist das dein privater Server oder laufen da Kunden drauf? Wäre ich dein
> > Kunde, würde ich mich, wenn ich das rausbekäme, ganz schön beschweren, dass
> > dein Server für mich bestimmte E-Mails nicht annimmt.

1. der Server nimmt alles relevante an.
2. Beobachte ich sehr genau das Logfile um zu sehen wer da von wo einliefert
3. die eigenen Kunden sind von diesen Restriktionen freigestellt (Versand nach drausen ist
nicht beschränkt) 


> >
> > Beispielsweise bekommen Kunden von mir durchaus bis zu fünf Mails innerhalb
> > kürzester Zeit: Bestelleingangsbestätigung, Auftragsbestätigung, Lieferung,
> > Rechnung und Eintragungsbestätigung in den Kundennewsletter. Das hieße aber,
> > dass mein Server bei dir nach Bestelleingangsbesätigung und
> > Auftragsbestätigung für eine Woche gesperrt würde (bzw. derzeit 20 Minuten).

Das Angebot das zu Testen nehme ich gerne an Andreas.
Bis dato hatte ich noch keine Einlieferungsüberschreitungen von "offiziellen" Servern.


> > Zum einen kein schöner Zug, zum anderen eventuell sogar rechtlich relevant
> > (Ansprüche deiner Kunden gegen dich, IANAL).

Auch das Problem sehe ich zur Zeit nicht da ich keinerlei Mailinglisten und oder stark
frequentierte Mailkonten habe.
Ist das ein Schöner Zug wenn da irgendein Scriptkiddi mit Langeweile den Server zumüllt? 

> 
> Auch sollte man dies 2-mal durchdenken sofern man cgi/php/shell services
> auf der selben Maschine anbietet, bzw der syslogd ueber TCP erreichbar ist.
> 
> Es kann quasi jeder der will ins syslog schreiben.
> man logger

Syslog wird nicht ausgewertet und fremdeinträge in den anderen Logfiles konnte ich noch
nicht feststellen.

Es steht dabei das bei stark frequentierten Servern die Anzahl der gleichzeitigen
Einlieferungen pro IP höher anzusetzen sind. Aber ich lasse mich da gerne belehren das es
Server gibt die an eine einzelne Domain 20 Mails gleichzeitig einliefern.
Es besteht außerdem die Möglichkeit durch Anpassung des Regex auch nur die Server zu
sperren welche dauernd mit nicht existierenden Mailadressen kommen. Dann kannst du auch
hingehen und sagen wenn der gleiche Server 3 mal an eine Falsche Mailadresse versucht zu
schicken bekommt er die Sperre und ist es ein echter Server wird er es nach einiger Zeit
wieder versuchen denn solange die Sperre besteht ist es für den einliefernden so als wäre
smtp zur Zeit einfach mal gestört.(bin ich zwar auch aber das verrate ich keinem)

Ich haben aber auch noch keinen offiziellen Server gesehen der innerhalb von 5 oder 6 sec
100 und mehr Verbindungen aufgemacht hat und dann nicht einen Treffer mit einer richtigen
Mailadresse macht.
Bei diesem Filter geht es um die die außerhalb jeder Normalität versuchen Mails
loszuwerden. 

Jeden Filter den ich ein und/oder aufbaue beobachte ich sehr genau auf seine
Verwendbarkeit um im fall von falschen Ablehnungen sofort eingreifen zu können.

Mal die Trefferliste von heute Nacht 

2007-05-24 01:53:47,080 fail2ban.actions: WARNING [smtpd] Ban 200.213.49.172
2007-05-24 02:13:47,466 fail2ban.actions: WARNING [smtpd] Unban 200.213.49.172
172.49.213.200.in-addr.arpa domain name pointer C8D531AC.poa.virtua.com.br

2007-05-24 03:34:47,036 fail2ban.actions: WARNING [smtpd] Ban 71.164.56.121
2007-05-24 03:54:47,406 fail2ban.actions: WARNING [smtpd] Unban 71.164.56.121
121.56.164.71.in-addr.arpa domain name pointer pool-71-164-56-121.chrlwv.east.verizon.net

2007-05-24 04:16:10,839 fail2ban.actions: WARNING [smtpd] Ban 67.189.201.6
2007-05-24 04:36:11,251 fail2ban.actions: WARNING [smtpd] Unban 67.189.201.6
6.201.189.67.in-addr.arpa domain name pointer c-67-189-201-6.hsd1.ma.comcast.net.
6.201.189.67.in-addr.arpa domain name pointer c-67-189-201-6.hsd1.ny.comcast.net.
Warum da 2 einträge zurück kommen verstehe ich zwar nicht ganz aber evtl. wisst Ihr das ja


2007-05-24 05:19:53,012 fail2ban.actions: WARNING [smtpd] Ban 58.69.248.98
2007-05-24 05:39:53,429 fail2ban.actions: WARNING [smtpd] Unban 58.69.248.98
Host 98.248.69.58.in-addr.arpa not found: 3(NXDOMAIN)

2007-05-24 09:39:58,811 fail2ban.actions: WARNING [smtpd] Ban 88.102.39.70
2007-05-24 09:59:59,388 fail2ban.actions: WARNING [smtpd] Unban 88.102.39.70
70.39.102.88.in-addr.arpa domain name pointer 70.39.broadband7.iol.cz.

Hat keinen getroffen der es nicht verdient gehabt hätte. Bei den "echten" Servern sehe ich
z.Z. noch kein Problem das auftreten könnte   
 
  


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397




Mehr Informationen über die Mailingliste Postfixbuch-users