Frage zu Vorgehen bei Problemen (gehackter Account)

[Max Grobecker]

Hallo,

wir scannen bei uns ausgehende E-Mails auf verschiedene Auffälligkeiten wie natürlich infizierte Anhänge, URLS in DNSBL, bekannte Phishing-URLs gegen DNSBL und so weiter.
Das geschieht über eine eigene Policy-Bank in Amavis - die Mails werden dabei nicht getagged oder abgewiesen. Noja, doch, wenn infizierte Anhänge gefunden werden, aber...
Jedenfalls erzeugt das Einträge im Log auf die man dann mit Fail2ban suchen und den Account sperren kann.
Das hat in den letzten Jahren lediglich einen False Positive erzeugt, da der Nutzer unbedingt in seiner Signatur eine Short-URL nutzen musste, deren Dienst auf einer Blacklist gelandet war.

Zusätzlich verwenden wir in Postfix die smtpd_client_message_rate_limit und smtpd_client_recipient_rate_limit, womit ein massiver Ausbruch wenigstens eingedämmt werden kann.
Die Werte sind hier etwa 5x so hoch konfiguriert, wie das normale Peak-Mailvolumen. Diese Limits greifen also nur, wenn jemand den Mailserver ganz übel flutet.
Das erzeugt ebenfalls Logeinträge für Fail2ban und hilft zudem, den Mailserver vor Flooding durch einzelne Clients zu schützen.
Leider greifen die nicht pro Benutzer sondern pro Client (also IP-Basiert). Wenn da also von hunderten IP-Adressen der Account missbraucht wird, hilft dir das im Zweifel nur wenig.


Max

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20171119/12794b0d/attachment.asc>