[Postfixbuch-users] Gefahr von innen
Patrick Ben Koetter
p at state-of-mind.de
Do Apr 26 21:17:00 CEST 2012
* andre at myhm.de <postfixbuch-users at listen.jpberlin.de>:
> mit permit_sasl_authenticated erlaubt man den Usern E-Mails frei zu
> versenden. Wenn aber ein Angreifer auf irgendwelche Weise das Passwort
> von einem Benutzer bekommen hat, kann er fleißig SPAM versenden. Die
> Folge: IP geblacklistet und ALLE restlichen User sind durch die Sperre
> gehindert, Mails an Fremdsysteme zu versenden. Gibt es denn zu dieser
> Problematik einen Lösungsansatz mit Boardmitteln von Postfix oder drüber
> hinaus?
Ich habe erst diese Woche einen Kunden "die Kuh vom Eis geholt", weil seine
User (10.000+) Opfer einer Phishing-Attacke wurden UND weil einige
(ausreichend) tatsächlich ihre Credentials gesendet haben.
Hätten sie VORHER Geld ausgegeben, hätten sie sich jetzt viel Geld gespart.
Und das nicht, weil ich so teuer bin, sondern weil es sie jetzt soviel Aufwand
kostet, die Schäden zu beheben.
Was kannst Du tun?
<dasistkeinerechtsberatung>
Erst einmal ist es rechtlich durchaus problematisch ausgehenden Mailverkehr
auf Spam zu prüfen. Anders als bei eingehendem Verkehr, wo Du nicht von jedem
Sender eine Einverständiserklärung zum Scannen der Nachricht einholen kannst,
kannst und mußt Du das bei ausgehenden Mailverkehr wohl schon.
</dasistkeinerechtsberatung>
Du musst also anders herausfinden, ob da gerade 'was los' ist …
Vorher:
- Phising-Aufklärung/Awareness
Sensibilisierte Anwender geben ihr Kennwort nicht so schnell her.
- Webmail/Applikationen
Server dicht machen. Zugriff auf APIs für RPC in den Applikationen
limitieren.
- Drosseln
Führe sinnvolle Rate-Limits für Sender ein -> postfwd
- Envelope Sender Nutzung festlegen
Sorge dafür, dass nur authenfizierte Anwender senden dürfen und, dass diese
nur (!) ihnen zugewiesenen envelope sender Adressen verwenden dürfen.
-> smtpd_sender_login_maps
- Ausfall-Relay vorbereiten
Damit Du im Notfall ausgehende Mails umrouten und so weiterhin senden
kannst
- Frühwarnung
Monitore die IPs Deiner ausgehenden Mail-IPs auf den relevanten RLBs. Schlag
Alarm wenn Dein Server gelistet ist.
- Feedback-Loops
Abonniere die Feedback-Loops der grossen ISPs, damit sie Dich informieren
können falls sie SPAM von Deinen Servern erhalten.
Währenddessen:
- Finde alle Sender, die an den Phisher senden, sperre sie, gib ihnen neue
Kennwörter und schalte sie erst dann wieder frei
- Blocke die Empfänger-Adresse/URL des Phishers
- Finde die Schwachstelle über die der Phisher sendet und behebe die Schwäche
Nacher:
- Mail-IP von RBLs kratzen
- Noch nicht durchgeführte Maßnahmen von "Vorher" durchführen
Das sollte für den Anfang reichen.
p at rick
--
state of mind ()
http://www.state-of-mind.de
Franziskanerstraße 15 Telefon +49 89 3090 4664
81669 München Telefax +49 89 3090 4666
Amtsgericht München Partnerschaftsregister PR 563
Mehr Informationen über die Mailingliste Postfixbuch-users