[Postfixbuch-users] Fail2ban als Spoiler für Postfix

[Christian Boltz]

Hallo Uwe, hallo Peer, hallo Leute,

(vorweg: Wer kommt zum LinuxTag? An welchen Tagen? Ich bin Mi-Fr da, 
Handynummer auf Anfrage per PM oder einfach am openSUSE-Stand 
vorbeischauen. Und zwei Eintrittskarten kann ich auch noch anbiegen, 
ebenfalls per PM erhältlich.)

Am Donnerstag, 24. Mai 2007 schrieb Uwe Driessen:
[...]
> Also Peer selbst die Postfixliste hatte bis dato noch keine
> Überschreitung oder mehr wie 2 Verbindungsversuche pro 21 sec (und
> das ist der Server der hier am Tag die meisten Mails und am
> schnellsten Mails einliefert)

Du willst mehr Mails? Kein Problem ;-)
opensuse-bugs+subscribe at opensuse.org
Und wenn das immer noch nicht reicht, gibt es noch mehr 
high-traffic-Listen auf opensuse.org.

> Wie ich ebenfalls angeführt habe kann man das auch auf Server
> beschränken welche eine gewisse Anzahl von ungültigen Mailadressen
> versucht haben. Da die Verbindungsversuche von Fail2ban immer im
> Zusammenhang gesehen werden kommt keiner auf die Liste der da mal
> oder auch mal 5 falsche Mailadressen in 24 Stunden versucht hat
> sondern immer nur der der innerhalb einer gewissen Zeit nacheinander
> das versucht.

Das wäre schonmal eine sinnvolle Einschränkung.

Außerdem würde ich das Limit *deutlich* höher setzen, weil
- erwünschte Mails auch mal häufiger als üblich reinkommen können
- Newsletter o. ä. oft gleichzeitig an mehrere Empfänger einer Domain 
  gehen, vor allem wenn die Domain einer größeren Firma gehört.
  Und größere Firmen haben i. d. R. eine gewisse Personalfluktuation,
  die automatisch ungültige Mailadressen "generiert" ;-)

- Angreifer/Spammer/whatever probieren es laut Deiner Beschreibung 
  extrem oft. Mir wäre es egal, ob die 2 oder 50 Adressen durchprobieren 
  können, wenn ich auf der anderen Seite verhindern kann, dass legitime 
  Mails versehentlich geblockt werden. Das bisschen Rauschen im Logfile 
  ist dann ein notwendiges Übel.


Ich hatte auch mal ein Limit von 5 neuen SSH-Verbindungen pro 5 Minuten 
auf einem Server eingerichtet (per ipt_recent), um automatisierte 
Loginversuche zu blocken. Und dann irgendwann CVS (über SSH) verwendet.

Was habe ich daraus gelernt?
- Man sollte nicht zu oft "cvs irgendwas" aufrufen, wenn man nicht 
  geblockt werden will ;-)   *aua*
- Eine Blocktime von 5 Minuten ist mehr als ausreichend - vor allem, da
  ich bei Kabel Deutschland meine (dynamische) IP z. T. monatelang 
  behalte. Nun stell Dir mal vor, ich hätte bei SSH-Attacken eine 
  Blocktime von 24 Stunden...

Inzwischen sitzt das Limit ein schönes Stück höher. Lieber ein paar 
Loginversuche im Log als mich selbst DOSen...


Gruß

Christian Boltz
-- 
Perl - the only language that looks the same before and after RSA
encryption.                                       -- Keith Bostic