[Postfixbuch-users] Fail2ban als Spoiler für Postfix
Christian Boltz
postfixbuch at cboltz.de
Mo Mai 28 00:34:54 CEST 2007
Hallo Uwe, hallo Peer, hallo Leute,
(vorweg: Wer kommt zum LinuxTag? An welchen Tagen? Ich bin Mi-Fr da,
Handynummer auf Anfrage per PM oder einfach am openSUSE-Stand
vorbeischauen. Und zwei Eintrittskarten kann ich auch noch anbiegen,
ebenfalls per PM erhältlich.)
Am Donnerstag, 24. Mai 2007 schrieb Uwe Driessen:
[...]
> Also Peer selbst die Postfixliste hatte bis dato noch keine
> Überschreitung oder mehr wie 2 Verbindungsversuche pro 21 sec (und
> das ist der Server der hier am Tag die meisten Mails und am
> schnellsten Mails einliefert)
Du willst mehr Mails? Kein Problem ;-)
opensuse-bugs+subscribe at opensuse.org
Und wenn das immer noch nicht reicht, gibt es noch mehr
high-traffic-Listen auf opensuse.org.
> Wie ich ebenfalls angeführt habe kann man das auch auf Server
> beschränken welche eine gewisse Anzahl von ungültigen Mailadressen
> versucht haben. Da die Verbindungsversuche von Fail2ban immer im
> Zusammenhang gesehen werden kommt keiner auf die Liste der da mal
> oder auch mal 5 falsche Mailadressen in 24 Stunden versucht hat
> sondern immer nur der der innerhalb einer gewissen Zeit nacheinander
> das versucht.
Das wäre schonmal eine sinnvolle Einschränkung.
Außerdem würde ich das Limit *deutlich* höher setzen, weil
- erwünschte Mails auch mal häufiger als üblich reinkommen können
- Newsletter o. ä. oft gleichzeitig an mehrere Empfänger einer Domain
gehen, vor allem wenn die Domain einer größeren Firma gehört.
Und größere Firmen haben i. d. R. eine gewisse Personalfluktuation,
die automatisch ungültige Mailadressen "generiert" ;-)
- Angreifer/Spammer/whatever probieren es laut Deiner Beschreibung
extrem oft. Mir wäre es egal, ob die 2 oder 50 Adressen durchprobieren
können, wenn ich auf der anderen Seite verhindern kann, dass legitime
Mails versehentlich geblockt werden. Das bisschen Rauschen im Logfile
ist dann ein notwendiges Übel.
Ich hatte auch mal ein Limit von 5 neuen SSH-Verbindungen pro 5 Minuten
auf einem Server eingerichtet (per ipt_recent), um automatisierte
Loginversuche zu blocken. Und dann irgendwann CVS (über SSH) verwendet.
Was habe ich daraus gelernt?
- Man sollte nicht zu oft "cvs irgendwas" aufrufen, wenn man nicht
geblockt werden will ;-) *aua*
- Eine Blocktime von 5 Minuten ist mehr als ausreichend - vor allem, da
ich bei Kabel Deutschland meine (dynamische) IP z. T. monatelang
behalte. Nun stell Dir mal vor, ich hätte bei SSH-Attacken eine
Blocktime von 24 Stunden...
Inzwischen sitzt das Limit ein schönes Stück höher. Lieber ein paar
Loginversuche im Log als mich selbst DOSen...
Gruß
Christian Boltz
--
Perl - the only language that looks the same before and after RSA
encryption. -- Keith Bostic
Mehr Informationen über die Mailingliste Postfixbuch-users