[Postfixbuch-users] mail-relay hacker finden / fangen

[Maag Oskar]

Hi,

@ Ralf + Marc: hab ein paar Tage NOCH was schöneres gemacht als Linux, deshalb keine Antwort auf eure Beiträge

@ Marc: ich wollte nicht pampig sein, und die Frage nach Mail-Server ohne Passwort habe ich ernst gemeint.

- manueller hacker: die Zeilen aus dem /var/log/mail waren zum gleichen Zeitpunkt, also hh.m0:13 bis hh.m2:20 sind 2 Minuten 7 
Sekunden, die Anstände also ca. 10, 3, 7, 4, 9, 24, 47 Sekunden. In anderen Fällen andere Anzahlen von Versuchen in anderen 
Abständen ( wie bereits gesagt ). Und deshalb manuell mutwillig, nicht zufällig automatisch. Und das ist mehr als scanning.

Marc schrieb:
...
 >                                               Es tut mir leid
 > wenn ich Dich enttäuschen muss, dass ist aber auch bei deinem
 > Mailserver und jedem anderen Mailserver auf der Welt so.
...
das ist bei mir nicht so. "permit_mynetworks" brauch ich nicht, da alle "internen" von Programmen (auch unter "windows" 
)generierten mails mit AUTH eingeliefert werden. Und die "interaktiven" mail-clients können das auch alle.

z.B. /etc/postfix/main.cf
...
smtpd_recipient_restrictions =
    reject_unauth_pipelining,
    reject_invalid_hostname,
    reject_non_fqdn_sender,
    reject_non_fqdn_recipient,
    check_client_access    regexp:/etc/postfix/check_client_access.regexp,
    check_sender_access    regexp:/etc/postfix/check_sender_access.regexp,
    check_recipient_access regexp:/etc/postfix/check_recipient_access.regexp,
    reject_unknown_sender_domain,
    reject_unknown_recipient_domain,
# 12
    permit_sasl_authenticated,
    reject_unauth_destination,
####  from here : destination INBOUND ONLY  ####
    reject_rbl_client      relays.ordb.org,
    ... weitere block lists
    reject_rhsbl_sender    dsn.rfc-ignorant.org,
    ... weitere block lists
# 19
    check_recipient_access mysql:/etc/postfix/check_recipient_access.mysql,
#
# all tests WITHOUT result: NO PERMIT: put in HOLD and refine tests
    check_recipient_access regexp:/etc/postfix/check_recipient_access_final.regexp
...


Marc schrieb:
...
 > Da Würmer gewöhnlicherweise eine eigene STMP Routine mitbringen
 > und sich direkt verschicken geb ich dir auf die Würmer Frage
 > keine Antwort und lass dich selber überlegen.
...

Vom "internen" Netz geht port 25 nur in die DMZ auf den Linux-Postfix-Server, also muß der (windows)-mailwurm auch 
"permit_sasl_authenticated," außer er hat als Ziel das "interne" Netz. Und außerdem muß er immer durch "amavis", egal wohin.

Und der einzige Zugang zum Internet ist wie gesagt die Feuermauer, also kein "dialin" parallel dazu.



Ralf Kayser schrieb:
...
> Soweit ich (ich glaub das war auf silicon oder auf netdev) gelesen hab,
> existieren schon Würmer die einen Auth versuchen (wobei mir nicht klar ist,
> ob die die Daten aus dem ScheppelOutlookExpress auslesen oder...).
...
das wär nich so doll, würde mich aber interessieren

...
 >
> Ich denke, dass Oskar sich da verhaspelt hat.
> 
...
wenn ich auch "intern" nur mails mit "AUTH" verschick, sperr ich die würmer auf dem infizierten Rechner ein. Und dort mit 
täglichem update der Antivirus-Software sollten die nicht lange leben.

Ich hoffe, ich lieg nicht sehr falsch und hab' wenig übersehen.

Aber Serversicherheit war eigentlich nicht das Thema. Ich dachte eher an was offensives.


Oskar