[Postfixbuch-users] Gefahr von innen

Patrick Ben Koetter p at state-of-mind.de
Do Apr 26 21:17:00 CEST 2012


* andre at myhm.de <postfixbuch-users at listen.jpberlin.de>:
> mit permit_sasl_authenticated erlaubt man den Usern E-Mails frei zu
> versenden. Wenn aber ein Angreifer auf irgendwelche Weise das Passwort
> von einem Benutzer bekommen hat, kann er fleißig SPAM versenden. Die
> Folge: IP geblacklistet und ALLE restlichen User sind durch die Sperre
> gehindert, Mails an Fremdsysteme zu versenden. Gibt es denn zu dieser
> Problematik einen Lösungsansatz mit Boardmitteln von Postfix oder drüber
> hinaus?

Ich habe erst diese Woche einen Kunden "die Kuh vom Eis geholt", weil seine
User (10.000+) Opfer einer Phishing-Attacke wurden UND weil einige
(ausreichend) tatsächlich ihre Credentials gesendet haben.

Hätten sie VORHER Geld ausgegeben, hätten sie sich jetzt viel Geld gespart.
Und das nicht, weil ich so teuer bin, sondern weil es sie jetzt soviel Aufwand
kostet, die Schäden zu beheben.

Was kannst Du tun?

<dasistkeinerechtsberatung>
Erst einmal ist es rechtlich durchaus problematisch ausgehenden Mailverkehr
auf Spam zu prüfen. Anders als bei eingehendem Verkehr, wo Du nicht von jedem
Sender eine Einverständiserklärung zum Scannen der Nachricht einholen kannst,
kannst und mußt Du das bei ausgehenden Mailverkehr wohl schon.
</dasistkeinerechtsberatung>

Du musst also anders herausfinden, ob da gerade 'was los' ist …

Vorher:
- Phising-Aufklärung/Awareness 
  Sensibilisierte Anwender geben ihr Kennwort nicht so schnell her.
- Webmail/Applikationen
  Server dicht machen. Zugriff auf APIs für RPC in den Applikationen
  limitieren.
- Drosseln
  Führe sinnvolle Rate-Limits für Sender ein -> postfwd
- Envelope Sender Nutzung festlegen
  Sorge dafür, dass nur authenfizierte Anwender senden dürfen und, dass diese
  nur (!) ihnen zugewiesenen envelope sender Adressen verwenden dürfen.
  -> smtpd_sender_login_maps
- Ausfall-Relay vorbereiten
  Damit Du im Notfall ausgehende Mails umrouten und so weiterhin senden
  kannst
- Frühwarnung
  Monitore die IPs Deiner ausgehenden Mail-IPs auf den relevanten RLBs. Schlag
  Alarm wenn Dein Server gelistet ist.
- Feedback-Loops
  Abonniere die Feedback-Loops der grossen ISPs, damit sie Dich informieren
  können falls sie SPAM von Deinen Servern erhalten.

Währenddessen:
- Finde alle Sender, die an den Phisher senden, sperre sie, gib ihnen neue
  Kennwörter und schalte sie erst dann wieder frei
- Blocke die Empfänger-Adresse/URL des Phishers
- Finde die Schwachstelle über die der Phisher sendet und behebe die Schwäche

Nacher:
- Mail-IP von RBLs kratzen
- Noch nicht durchgeführte Maßnahmen von "Vorher" durchführen


Das sollte für den Anfang reichen.

p at rick

-- 
state of mind ()

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563




Mehr Informationen über die Mailingliste Postfixbuch-users