[Postfixbuch-users] Sender address rejected: not owned by user

Uwe Drießen driessen at fblan.de
So Aug 10 11:05:56 CEST 2014


Im Auftrag von Florian Pritz
> 
> On 09.08.2014 13:50, Uwe Drießen wrote:
> Restrictions/ganze config und mehr aus der Log posten wäre hilfreich,

mal einen kompletten einlieferungsversuch 

Aug  9 11:49:01 mail postfix-mail/smtpd[23390]: connect from unknown[212.2.237.219]
Aug  9 11:49:03 mail postfix-mail/smtpd[23390]: NOQUEUE: reject: RCPT from unknown[212.2.237.219]: 553 5.7.1 <mudar at meine.de>: Sender address rejected: not owned by user meiner at meine.de; from=<mudar at meine.de> to=<jcabral80 at hotmail.com> proto=ESMTP helo=<[192.168.0.36]>
Aug  9 11:49:13 mail postfix-mail/smtpd[23390]: too many errors after DATA from unknown[212.2.237.219]
Aug  9 11:49:13 mail postfix-mail/smtpd[23390]: disconnect from unknown[212.2.237.219] 

Die ganze Konfig lassen wir mal da 4 Adressen mit unterschiedlichen Funktionen und z.T. anderen Restriktionen.

Es ist richtig dass diese versuche geblockt werden. In der Konfig IST kein Fehler.

> aber ich gehe mal von reject_sender_login_mismatch und keinem Login aus.
> Das trifft alle Clients (angemeldet und nicht angemeldet) und in dem
> Fall heißt das (hoffentlich) einfach nur dass ein Spammer Mails über
> dich Mails relayen will und hofft dass du alles mit deiner Domain als
> Absender einfach durchwinkst (auch wenn der Empfänger nicht bei dir liegt).

Woher und aufgrund welcher restriktion die Meldung kommt ist schon bekannt.
Über Port 25 gibt es keine Anmeldung eigener User!

> 
> > Zur Zeit gehen darüber keine Mails an unbeteiligte dritte raus soweit ich
> > das feststellen kann.
> 
> Falls du es nicht machst, limitiere wie viele Mails ein Account pro Zeit
> verschicken darf. Damit sind gestohlene Zugangsdaten gleich viel weniger
> schlimm und vor allem einfacher zu erkennen. postfwd config dafür
> https://paste.xinu.at/So5/. Einfach in smtpd_end_of_data_restrictions
> als check_policy_service einbauen.

Auch das ist nicht mein Problem weil 
a. falscher Absender ungültiger User 
b. sind alle Sendevorgänge über Postfix eigene Restriktionen Limitiert 

> > Wie bekomme ich raus welche Passwörter die versuchen zu verwenden?
> 
> Entweder keines, das richtige oder ein falsches und sie machen aber im
> Dialog trotzdem weiter. Bzgl rausfinden scroll in der Log mal hoch oder
> grep nach der client IP.

Genau das herauszufinden ist die Aufgabe. Denn wenn dann muss ich herausfinden wie wo und wann wodurch die an das PW gekommen sind
Es gibt da etwas was die Passwörter mitschreiben kann bei sasl das hatte ich schon mal im Einsatz habs aber vergessen wie das ging 
In der Zwischenzeit wird allerdings über Dovecot und Mysql die Anmeldung abgewickelt 

die Frage welches  Passwort wurde  bei der Anmeldung genutzt weil das ist SO nicht feststellbar.
1. auf dem falschen Port 
2. nicht existierender User als Absender
3. Anderer User wie für Anmeldung benutzt 

Sind diese Art der Angriffe auf anderen Systemen zur Zeit auch festzustellen? 
Sind es nur Versuche Passwörter über Anmeldeversuche herauszufinden?

> 
> Fail2ban halte ich für ein bisschen Voreilig wenn du nichtmal wirklich
> sicher bist was eigentlich da passiert.

Hier gilt Vorbeugen ist besser wie heilen (gilt nicht für jede Vorsorgeuntersuchung :-))
Zumindest mal bin ich mir so sicher das DIESE Mailadressen NICHT aus den ADRESSBEREICHEN benutzt werden dürfen bzw. können. 
Ich bin weder in Indien noch in Russland noch sonst irgendwo außer in Deutschland in dem mir gut bekannt IP-Bereich.
Bei mir gilt dann erstmal schießen, die Parole kann ich immer noch abfragen. Kommt da einer ins friendly fire ist das schnell wieder behoben.
 
Wenn der Schaden da ist und der Server auf den Blacklisten steht dann habe ich wesentlich mehr Arbeit das zu beheben. 



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




Mehr Informationen über die Mailingliste Postfixbuch-users