Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Mar 2004

Säkerhet postfix.

Jag kör en egen E-postserver, tog mig väldigt lång tid att få det att fungera då jag inte är så hemma på Linux.

Hur som...

Nu när jag kikar i mail-loggen så ser jag att den är smockfull av detta:

Skrivet av mail.log:

Oct 16 06:28:13 Ubuntu-Server postfix/smtpd[27825]: warning: hostname 4d1q192.urbanchipps.net does not resolve to address 104.200.137.192: Name or service not known
Oct 16 06:28:13 Ubuntu-Server postfix/smtpd[27825]: connect from unknown[104.200.137.192]
Oct 16 06:28:13 Ubuntu-Server postfix/smtpd[27825]: improper command pipelining after HELO from unknown[104.200.137.192]: QUIT\r\n
Oct 16 06:28:13 Ubuntu-Server postfix/smtpd[27825]: disconnect from unknown[104.200.137.192] helo=1 quit=1 commands=2
Oct 16 06:31:33 Ubuntu-Server postfix/anvil[27827]: statistics: max connection rate 1/60s for (smtp:104.200.137.192) at Oct 16 06:28:13
Oct 16 06:31:33 Ubuntu-Server postfix/anvil[27827]: statistics: max connection count 1 for (smtp:104.200.137.192) at Oct 16 06:28:13
Oct 16 06:31:33 Ubuntu-Server postfix/anvil[27827]: statistics: max cache size 1 at Oct 16 06:28:13

Eller så ser det ut såhär:

Skrivet av mail.log:

Oct 16 06:38:09 Ubuntu-Server postfix/smtpd[27890]: connect from unknown[216.15.186.126]
Oct 16 06:38:14 Ubuntu-Server postfix/smtpd[27890]: warning: unknown[216.15.186.126]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Oct 16 06:38:14 Ubuntu-Server postfix/smtpd[27890]: disconnect from unknown[216.15.186.126] helo=1 auth=0/1 quit=1 commands=2/3

Det handlar alltså om flera hundra försök om dagen och även om samma IP dyker upp flera gånger så är det enormt många olika.
Känns som om det skulle vara något långsamt-gående bruteforce-försök eller något.
Det dyker upp ett sånt försök ungefär varannan minut.

Vad kan jag göra för att tighta till min säkerhet?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Nebudchanezzer:

Jag kör en egen E-postserver, tog mig väldigt lång tid att få det att fungera då jag inte är så hemma på Linux.

Hur som...

Nu när jag kikar i mail-loggen så ser jag att den är smockfull av detta:
Eller så ser det ut såhär:
Det handlar alltså om flera hundra försök om dagen och även om samma IP dyker upp flera gånger så är det enormt många olika.
Känns som om det skulle vara något långsamt-gående bruteforce-försök eller något.
Det dyker upp ett sånt försök ungefär varannan minut.

Vad kan jag göra för att tighta till min säkerhet?

fail2ban löser delar av dina problem. Dock så är det inget konstigt det du ser i loggarna.
Din porten är öppen mot internet. Det betyder att andra kommer att försöka att skicka spam via dig.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Mar 2004
Skrivet av BrusE:

fail2ban löser delar av dina problem. Dock så är det inget konstigt det du ser i loggarna.
Din porten är öppen mot internet. Det betyder att andra kommer att försöka att skicka spam via dig.

fail2ban skall definitivt kollas upp tackar för det tipset!

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Mar 2004

Får inte fail2ban att fungera riktigt, det upptäcker intrångsförsöken men de blir inte blockerade...

Skrivet av fail2ban.log:

2016-10-18 08:56:38,703 fail2ban.jail [1442]: INFO Creating new jail 'postfix-sasl'
2016-10-18 08:56:38,703 fail2ban.jail [1442]: INFO Jail 'postfix-sasl' uses pyinotify
2016-10-18 08:56:38,704 fail2ban.filter [1442]: INFO Set jail log file encoding to UTF-8
2016-10-18 08:56:38,706 fail2ban.jail [1442]: INFO Initiated 'pyinotify' backend
2016-10-18 08:56:38,708 fail2ban.filter [1442]: INFO Set maxRetry = 2
2016-10-18 08:56:38,709 fail2ban.filter [1442]: INFO Added logfile = /var/log/mail.log
2016-10-18 08:56:38,711 fail2ban.filter [1442]: INFO Set findtime = 1200
2016-10-18 08:56:38,711 fail2ban.actions [1442]: INFO Set banTime = 216000
2016-10-18 08:56:38,712 fail2ban.filter [1442]: INFO Set jail log file encoding to UTF-8
2016-10-18 08:56:38,712 fail2ban.server [1442]: INFO Jail postfix-sasl is not a JournalFilter instance
2016-10-18 08:56:38,716 fail2ban.jail [1442]: INFO Jail 'sshd' started
2016-10-18 08:56:38,720 fail2ban.jail [1442]: INFO Jail 'postfix' started
2016-10-18 08:56:38,725 fail2ban.jail [1442]: INFO Jail 'postfix-sasl' started
2016-10-18 09:04:53,086 fail2ban.filter [1442]: INFO [postfix-sasl] Found 121.41.88.139
2016-10-18 09:29:21,455 fail2ban.filter [1442]: INFO [postfix-sasl] Found 180.222.157.66
2016-10-18 09:37:43,092 fail2ban.filter [1442]: INFO [postfix-sasl] Found 121.41.88.139
2016-10-18 10:01:31,387 fail2ban.filter [1442]: INFO [postfix-sasl] Found 185.53.244.244
2016-10-18 10:09:33,172 fail2ban.filter [1442]: INFO [postfix-sasl] Found 185.34.18.3
2016-10-18 10:34:19,237 fail2ban.filter [1442]: INFO [postfix-sasl] Found 41.193.182.9
2016-10-18 10:41:13,288 fail2ban.filter [1442]: INFO [postfix-sasl] Found 216.15.186.126
2016-10-18 10:49:42,142 fail2ban.filter [1442]: INFO [postfix-sasl] Found 180.222.157.66

Det fetade IP borde väl inte dykt upp där igen utan skulle ha blivit blockat...?

När jag kör "iptables -L -n" får jag inte upp några blockade IP:

Skrivet av iptables:

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-postfix-sasl tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,220,993,110,995
f2b-postfix tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587
f2b-sshd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-postfix (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain f2b-postfix-sasl (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain f2b-sshd (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

EDIT: Löste sig med lite striktare regler.

Tackar och bockar för tipset!

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003

Tänk på att skapa en jail.local som du sedan ändrar. Du kan också whitelista vissa IP adresser så att
de inte blir blockade.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Mar 2004

Vad är egentligen en lämplig tid att blocka ett IP?
Jag höftade till det på 60 timmar, men vid lite eftertanke kanske man skall öka det....?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Nebudchanezzer:

Vad är egentligen en lämplig tid att blocka ett IP?
Jag höftade till det på 60 timmar, men vid lite eftertanke kanske man skall öka det....?

Hos mig har jag 5 minuter som standard. Man kan komplettera med rate limit med iptables
och ett blackhole om man vill blocka många adresser en länge stund.

Glöm inte att jobba med whitelist så att du inte blockar fel enheter.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Mar 2004
Skrivet av BrusE:

Hos mig har jag 5 minuter som standard. Man kan komplettera med rate limit med iptables
och ett blackhole om man vill blocka många adresser en länge stund.

Glöm inte att jobba med whitelist så att du inte blockar fel enheter.

Hmmm....
5 minuter känns på tok för lite med tanke på att många av försöken dyker endast upp en gång i timmen, medans andra är vanligare....
Känner nog snarare att jag skulle vilja öka det till nån vecka eller så...

Som whitelist" kör jag bara LAN, är en ytterst liten mail-server endast familjen f.n.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Nebudchanezzer:

Hmmm....
5 minuter känns på tok för lite med tanke på att många av försöken dyker endast upp en gång i timmen, medans andra är vanligare....
Känner nog snarare att jag skulle vilja öka det till nån vecka eller så...

Som whitelist" kör jag bara LAN, är en ytterst liten mail-server endast familjen f.n.

Tänkt på att verktyget är trubbigt för att fatta beslut att blocka en ip så pass länge. Risken är faktiskt att du
blockar legitim trafik, vilket är tråkigt. Tanken är att förhindra att någon hamrar mot maskinen.

Nästa steg är rate limit med iptables och geo blockning om du känner för att pilla med inställningar.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Mar 2004

Ytterligare en fråga:

Bör man rapportera alla dessa IP:n för abuse?

Trädvy Permalänk
Medlem
Registrerad
Nov 2005

nej du får inte så mycket annan tid över då.
Man får alltid en tankeställare hur laglöst internet är när man kollar intrångsförsök på en vanligt server 5-20 försök i timmen är inte ovanligt och det är helt normalt..

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Nebudchanezzer:

Ytterligare en fråga:

Bör man rapportera alla dessa IP:n för abuse?

Nej. Det är för mycket jobb även om det är automatiserad process.

| Citera för svar! | Gilla bra inlägg! |