Viruswelle von "kreditoren at dertour.de"

Patrick Ben Koetter p at sys4.de
Di Dez 8 22:49:45 CET 2015 

* Daniel <postfixbuch-users at listen.jpberlin.de>:
> Huhu,
> 
> Heise empfiehlt grad auf
> http://www.heise.de/newsticker/meldung/Kleine-Handreichung-fuer-Admins-Postfix-Filter-als-erste-Hilfe-gegen-Trojanerwelle-3035001.ht
> ml einen Reject Filter einzubinden.

Als ich den Artikel heute verfasst habe, waren nur vereinzelt Filter
verfügbar, die diese Ransomware geblockt hat. Der beschrieben Filter dient nur
als Kurzzeit-Maßnahme, weil der eindimensional und dumm ist.

Aber die Gefahr von Falsch-Positiven ist weitaus geringer als der Schaden, der
durch die Schadroutine, die in der kreditoren at dertour.de-Mail ist, entstehen
würde.

Wenn Du andere Filter hast, die diese Schadsoftware blockt, dann nutze diese
und deaktiviere stattdessen die von mir beschriebene Methode.

p at rick




> 
> Zitat:
> sudo touch /etc/postfix/viruswelle
> Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus:
> kreditoren at dertour.de REJECT Virus kreditoren at dertour.de
> Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen
> hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um:
> sudo postmap hash:/etc/postfix/viruswelle
> Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein:
> smtpd_recipient_restrictions = 
> check_sender_access hash:/etc/postfix/viruswelle
> 
> ====
> 
> Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure Vorkehrungen bzw. Empfehlungen?
> 
> Dec  8 11:03:47 postfix/smtpd[6630]: connect from unknown[45.64.137.138]
> Dec  8 11:03:48 postfix/policy-spf[6640]: Policy action=550 Please see
> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server
> Dec  8 11:03:48 postfix/smtpd[6630]: NOQUEUE: reject: RCPT from unknown[45.64.137.138]: 550 5.7.1 <X>: Recipient address rejected:
> Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server; from=<KREDITOREN at DERTOUR.de>
> to=<X> proto=ESMTP helo=<[45.64.137.138]>
> Dec  8 11:03:48 postfix/smtpd[6630]: disconnect from unknown[45.64.137.138] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5
> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection rate 1/60s for (25:45.64.137.138) at Dec  8 11:03:47
> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection count 1 for (25:45.64.137.138) at Dec  8 11:03:47
> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max cache size 1 at Dec  8 11:03:47
> Dec  8 11:10:46 postfix/smtpd[6949]: connect from ip4daa1d85.direct-adsl.nl[77.170.29.133]
> Dec  8 11:10:47 postfix/policy-spf[6959]: Policy action=550 Please see
> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server
> Dec  8 11:10:47 postfix/smtpd[6949]: NOQUEUE: reject: RCPT from ip4daa1d85.direct-adsl.nl[77.170.29.133]: 550 5.7.1 <X>: Recipient
> address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server;
> from=<KREDITOREN at DERTOUR.de> to=<X> proto=ESMTP helo=<ip4daa1d85.direct-adsl.nl>
> Dec  8 11:10:47 postfix/smtpd[6949]: disconnect from ip4daa1d85.direct-adsl.nl[77.170.29.133] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1
> commands=3/5
> 
> Gruß Daniel
> 
> 

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste Postfixbuch-users