Frage zu Vorgehen bei Problemen (gehackter Account)

[Patrick Ben Koetter]

* Dr. Peer-Joachim Koch <postfixbuch-users at listen.jpberlin.de>:
> Hallo,
> 
> wir hatten mal wieder den Fall das ein gehackter Account (wahrscheinlich
> schwaches PW) benutzt wurde (werden sollte ;) )
> um Phishing Mails über unseren SMTP-Server zu versenden (gültiger Account
> mit richtigem PW...). Uns ist es aufgefallen,
> weil wir die mail queue überwachen und so das sehr schnell mitbekommen
> haben.
> Das sperren des Accounts etc machen wir alles in Handarbeit.
> 
> Frage: Wie macht ihr das ?
> 
>           Gibt es verlässliche Automatismen, die die Reaktionszeit verkürzen
> ?

Wir nähern uns dem Thema über Anomalien.

Dazu finden wir erst einmal durch Analysen des Mailverkehrs heraus, was normal
ist.

Erst mal kaufen wir uns dann Zeit und verringern den Impact, indem wir die
Kombination Netz, Uhrzeit und Tag zu verschiedenen Rate Limits schmieden. Das
verhindert schon mal, dass jemand Sonntag Nacht aus China Vollgas geben kann.
Zur selben Zeit dürfte jemand aus der trusted IP Range die Ressourcen der
Plattform ungehindert nutzen.

Dann haben wir ein Tool, das bei wechselnden Geolocations derselben Identität
bei einem Schwellwert den Account zumacht. Zusätzlich sehen wir uns die IP an.
Wenn die innerhalb desselben Netzes zu oft wechselt gibt es auch einen
Platzverweis. Dann setzen wir ein Flag 'abused' im Backend (LDAP, SQL) des
Accounts.

Das fragen wir on the fly mit check_sasl_access ab und liefern ein "4..
abused" zurück. Und wir senden eine signierte Notification von abuse at ... an
die Mailbox des Identity-Owners. Ausserdem landet der Account auf dem
Monitoring Schirm im NOC und bei den Kundenbetreuern.

Ein anderes Tool weiß welche Identität (zu dem Zeitpunkt in der DB nur ein
Hash) welches typische Sendeverhalten (Zeit, Tag, Volumen) hat. Das hat auch
noch mitzureden.

Dann beobachten wir die Ablehnungsrate der Zielserver. Wenn die über einen
Schwellwert steigt, gehen die E-Mails des Senders auf HOLD, ein Alarm wird
ausgelöst und die Nachrichten werden genauer inspiziert. Ggf. sichern wir das
Zeug dann mit https://github.com/sys4/postproof raus.

Solche Mails laufen bei uns auch noch in pyzor rein und auf den MXen fragen
wir unsere eigene DB ab, damit wir uns nicht selbst oder von anderen
Plattformen den Kram reinschieben, den wir gerade identifiziert und
rausgekratzt haben.

Das funktioniert sehr gut, hat so gut wie nie FPs und läßt sich wunderbar
automatisieren.

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein