[postfix-users] Spam über reguläre Mailkonten

Robert Schetterer via postfix-users postfix-users at de.postfix.org
Di Okt 15 10:20:38 CEST 2013


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 14.10.2013 22:38, schrieb Thomas Krause via postfix-users:
> 
> Hallo Patick, mir fällt dazu nur folgende Logik ein (wie man die
> aber programmiermäßig umsetzen soll ...):
> 
> wenn ein user sich innerhalb einer kurzen Zeitspanne von
> unterschiedlichen IP's erfolgreich authentifiziert, muss es sich um
> einen ausspionierten Account handeln. Dieser wäre dann zu sperren:
> 
> grep accountname  maillog.1 | grep sasl_username | awk '{ print $3
> " " $7 }' | tail -15

so in der Art waere das machbar , man kann sicher was fuer seinen
eigenen Server "schnitzen" , evtl mit fail2ban und oder direkt aus dem
syslog, das Problem wird aber immer sein, die false positiv rate
moeglichst klein zu halten, d. h je mehr Entscheidungs Parameter man
zur Verfuegung hat ,umso besser, dafuer gibts aber derzeit noch nichts
von der Stange

> 
> 23:53:28 client=unknown[178.151.35.45], 23:53:32
> client=unknown[37.115.176.79], 23:53:40
> client=111-253-98-238.dynamic.hinet.net[111.253.98.238], 23:54:38
> client=unknown[151.0.18.13], 23:55:08
> client=113x37x209x166.ap113.ftth.ucom.ne.jp[113.37.209.166], 
> 23:55:09 client=unknown[188.231.178.208], 23:55:11
> client=unknown[109.72.118.241], 23:56:18
> client=ip-89-102-193-16.net.upcbroadband.cz[89.102.193.16], 
> 23:56:42 client=pool-109-191-26-58.is74.ru[109.191.26.58], 23:57:02
> client=unknown[31.192.57.151], 23:58:05
> client=111-253-98-238.dynamic.hinet.net[111.253.98.238], 23:59:08
> client=unknown[151.0.18.13], 23:59:21
> client=unknown[109.160.120.112], 23:59:29
> client=unknown[95.179.17.5], 23:59:56
> client=unknown[178.172.196.39],
> 
> und das passiert mir leider nicht zum ersten Mal.
> 
> Grüße, Thomas.
> 
> 
> Am 14.10.2013 10:28, schrieb Patrick Ben Koetter via
> postfix-users:
>> Hallo Thomas,
>> 
>> * Thomas Krause via postfix-users <toaster at chef-ingenieur.de>:
>>> in der letzten Zeit habe ich gehäuft Probleme mit Spamversand
>>> über reguläre Mailkonten. Vermutlich ist der PC des
>>> Betreffenden nach Username/Paßwort ausspioniert wurden.
>>> Jedenfalls wird sich per SMTP-AUTH mit korrektem Usernamen u.
>>> Paßwort eingeloggt und dann der Spam abgesetzt. Dabei werden 
>>> ganz unterschiedliche Absende-IP-Adressen verwendet. Das Spam- 
>>> Volumen ist relativ gering, d.h. es fällt auch nicht gleich
>>> auf. Was kann ich dagegen machen? Einzig fällt mir ein, die
>>> Anzahl der pro Absende-Adresse versendeten Mails in
>>> Abhängigkeit der Zeit zu limitieren. Ist das überhaupt mit
>>> Postfix umzusetzen? Habt Ihr dazu Lösugen (bzw. Ideen)?
>> Postfix bietet Dir keine bordeigenen Mittel an, um hier
>> Missbrauch zu verhindern oder zu begrenzen.
>> 
>> Mir ist kein frei erhältliches Tool bekannt, das speziell auf
>> diesen SMTP AUTH Missbrauch reagiert, oder das eine entsprechende
>> logische Verknüpfung von AUTH-Status, client-IP und Varianz bzw.
>> Gewohnheit herstellt.
>> 
>> Wenn Du programmieren kannst, kannst Du so ein Tool herstellen
>> und es über das Postfix policy delegation protocol oder als
>> MILTER ansprechen und in Postfix einbinden.
>> 
>> p at rick
>> 
> 
> _______________________________________________ postfix-users
> mailing list postfix-users at de.postfix.org 
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users



Best Regards
MfG Robert Schetterer

- -- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJSXPrOAAoJEP8jBObu0LlECvAH/2ri+9VGptJb6JYqcN5FGarv
SM+lrrwOb/7hQ12rcb8y34nkpLGb5IBNniB6JHpylWa4cq3ETIZwfWd6dDmN7y9A
7T1byY6/pPMFFoKy4al8/CjmEZ0kDDP9B2KpBV0HPfo4cmOtm/j6pkp7NpIjE5X1
tqZo6tW4j70TbPAY2HZNT5cS/bGuMfEnXUTKkSxdO+BvIfkM/a7lMJnzytVtrYIa
lmZfsHZ0zThIHUVmvRr3KC+288BGBeUBmuFJOgWL2eIL3VLtshKilX9D4TSPxsHE
Xm09zeIKbTcTgPvktZqALX5LhAR9e23dqmMCPkBKPZmtFWapIYI7OmiGp9jej8g=
=uLQ3
-----END PGP SIGNATURE-----


Mehr Informationen über die Mailingliste postfix-users