AW: offtopic: wie IMAP absichern ?

Peer-Joachim Koch Peer-Joachim.Koch at leibniz-hki.de
Do Jul 18 16:06:21 CEST 2024 

Hi,

wenn Du auch bei e-Mail immer VPN machen musst, dann ist
aus meiner persönlichen Sicht das ganze nicht mehr praktikabel -
viele denken ja auch sie sind hinter einer FW sicher und es kann nichts 
mehr passieren ...

Vielen Dank jedenfalls an alle für die Anregungen!

Ciao, Peer

On 18.07.24 15:43, Daniel via Postfixbuch-users wrote:
> Verständlich, Alternativ könnte man ja auch eine Webseite bereitstellen wo sich betroffene ihre IP sehen und von Blacklist löschen lassen können.
> Und zwar nur die IP von der man zugreift, keine anderen, und auch nur mit nem Captcha oder einer Frage die jeder berechtigte beantworten kann.
>
> Könnte evt eine Workarround sein.
>
> Und extra erst per VPN einwählen damit Mailclient dann (nur intern) zugreifen kann, ist wohl auch nicht so die Lösung die gewünscht wird.
>
> Ist leider immer sone Abwegungssache. Habe als kleiner private Betreiber teils auch immer nur 1-2 Versuche und dann nächste IP, aber dann mit Emailadressen die es nie gab...
>
> Gruß Daniel
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Peer-Joachim Koch via Postfixbuch-users
> Gesendet: Donnerstag, 18. Juli 2024 15:16
> An: postfixbuch-users at listen.jpberlin.de
> Cc: Peer-Joachim Koch <Peer-Joachim.Koch at leibniz-hki.de>
> Betreff: Re: offtopic: wie IMAP absichern ?
>
> Hallo Daniel,
>
> das kann man im Forschungsumfeld bzw. universitätsnahen Umfeld nicht
> umsetzen.
> Wir haben Dienste zur Verfügung zu stellen und dürfen nicht einfach
> sanktionieren....
>
> Hat jemand Erfahrung gemacht mit OAuth2 oder mit zertifikatsbasierender
> Absicherung
> (keine direkte Kommunikation vom Mailclient mit dem IMAP Server, sonder
> erst über ein
> privates Zertifikat anmelden und dann mit USERNAME & PW anmelden - ist
> das "TLS Certificate  authentication" ? )
>
> Oder kennt jemand Firmen die sich damit auskennen (darf mich gerne
> kontaktieren!) ?
>
> Wie gesagt - fail2ban bringt bei uns nicht wirklich viel - da ist es
> schon eher ein Indiz (bei gleicher IP) dafür
> dass der Nutzer mal wieder das falsche Kennwort verwendet hat ....
>
> Unsere Mitarbeiter reisen viel, da wird es schwer mit Blacklisting.
>
> Ciao,
>     Peer
>
> On 18.07.24 14:42, Daniel via Postfixbuch-users wrote:
>> Kommt drauf an, wenn ich dreist wäre würde ich verlangen dass man Passwort dann von anderer IP aus zurücksetzt, oder evt. sogar für das Entsperren eine kleine Gebühr in einstelligen Euro Bereich verlangen und Passwort per Post versenden.
>>
>> Spätestens wenns was kostet und sei es nur 1€ kommt auch mal ein lerneffekt. Gibt Passwortmanager, und wer es analog mag schreibt es sich in ein Buch.
>>
>> Nach ner Stunde oder Tag halte ich viel zu kurz für Sperren.
>>
>> Auf anderen Seite kann man verstehen dass es dann mehr Supportanfragen gibt.
>>
>> Gruß Daniel
>>
>>> Am 18.07.2024 um 14:31 schrieb Klaus Flesch <kflesch at es-ag.com>:
>>>
>>> Hallo,
>>>
>>> Wir haben das Problem, das die Automatiken bei den Mailclients und unbedarfte Nutzer einen Ban provozieren (mehrmaliges testen, was den passen könnte), und dann die Korrektur das Passwortes nicht mehr klappt, da die IP ja jetzt im Ban Modus ist.
>>>
>>> Symptom ist häufig großer Frust, und am nächsten Tag gehts auf einmal (ohne das ich was geändert habe! Ist die Beschwerde).
>>>
>>> Wer hat da ne Idee?
>>>
>>> Danke
>>> Klaus Flesch, Kühnheimerstrasse 21, 79206 Breisach
>>>
>>>> Am 17.07.2024 um 21:20 schrieb Klaus Tachtler via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de>:
>>>>
>>>> Hallo,
>>>>
>>>> Fail2Ban, 3 Versuche und 8 Std. Sperrzeit.
>>>>
>>>>
>>>> Grüße
>>>> Klaus.
>>>>
>>>> --
>>>> Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet.
>>>>
>>>> Von: christian via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de>
>>>> An: postfixbuch-users at listen.jpberlin.de
>>>> Kopie: christian <usenet at schani.com>
>>>> Datum: 17.07.2024 18:13:27
>>>> Betreff: Re: offtopic: wie IMAP absichern ?
>>>>
>>>>>> Am 17.07.2024 um 17:07 schrieb Michael Grundmann via Postfixbuch-users:
>>>>>>>> Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users:
>>>>>>> Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ?
>>>>>>> fail2ban - EIN Loginfehler und Tschüß ;)
>>>>>>>
>>>>> Ich denke auch das fail2ban das richtige ist. Bei mir hilft das.
>>>>> Einen Login Fehler zulassen ist krass, aber 2 wären ok. Man hat ja seine eigenen Leute die mal das Passwort falsch eingeben.
>>>>>
>>>>> Aber mit 2 Fehlversuchen klappt es. Und ich würde nicht länger wie 30 Minuten sperren.
>>>>>
>>>>> Nach ein paar Tagen verlieren die Angreifer das Interesse und bleiben fern. Dann kann man die Fehlversuche wieder höher stellen.
>>>>>
>>>>> Christian
>>>> --
>>>>
>>>> ---------------------------------------
>>>> e-Mail  : klaus at tachtler.net
>>>> Homepage: https://www.tachtler.net
>>>> DokuWiki: https://dokuwiki.tachtler.net
>>>> ---------------------------------------
>>>>
-- 
     Mit freundlichen Grüßen,
        Peer-Joachim Koch
____________________________________
Leibniz-Institut für Naturstoff-Forschung
und Infektionsbiologie e. V.
Hans-Knöll-Institut (HKI)
Dr. Peer-Joachim Koch
      
Beutenbergstraße 11a
07745 Jena
Tel.: +49 3641 5321029
Fax.: +49 3641 5322029
e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5999 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240718/b32b494c/attachment.p7s>

Mehr Informationen über die Mailingliste Postfixbuch-users