Viruswelle von "kreditoren at dertour.de"

Peter Buettner buettnerp at web.de
Di Dez 8 23:33:43 CET 2015 

Bei mir kam der "Angriff" ausschließlich über den zweiten MX'er. Das
ganze lief ins Leere, weil ich dort nur verschlüsselte Sessions zulasse.

Einen Access-Filter der beschriebenen Art habe ich eh schon für hotmail
und Co..

Peter Büttner

Am 08.12.2015 um 22:49 schrieb Patrick Ben Koetter:
> * Daniel <postfixbuch-users at listen.jpberlin.de>:
>> Huhu,
>>
>> Heise empfiehlt grad auf
>> http://www.heise.de/newsticker/meldung/Kleine-Handreichung-fuer-Admins-Postfix-Filter-als-erste-Hilfe-gegen-Trojanerwelle-3035001.ht
>> ml einen Reject Filter einzubinden.
> 
> Als ich den Artikel heute verfasst habe, waren nur vereinzelt Filter
> verfügbar, die diese Ransomware geblockt hat. Der beschrieben Filter dient nur
> als Kurzzeit-Maßnahme, weil der eindimensional und dumm ist.
> 
> Aber die Gefahr von Falsch-Positiven ist weitaus geringer als der Schaden, der
> durch die Schadroutine, die in der kreditoren at dertour.de-Mail ist, entstehen
> würde.
> 
> Wenn Du andere Filter hast, die diese Schadsoftware blockt, dann nutze diese
> und deaktiviere stattdessen die von mir beschriebene Methode.
> 
> p at rick
> 
> 
> 
> 
>>
>> Zitat:
>> sudo touch /etc/postfix/viruswelle
>> Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus:
>> kreditoren at dertour.de REJECT Virus kreditoren at dertour.de
>> Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen
>> hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um:
>> sudo postmap hash:/etc/postfix/viruswelle
>> Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein:
>> smtpd_recipient_restrictions = 
>> check_sender_access hash:/etc/postfix/viruswelle
>>
>> ====
>>
>> Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure Vorkehrungen bzw. Empfehlungen?
>>
>> Dec  8 11:03:47 postfix/smtpd[6630]: connect from unknown[45.64.137.138]
>> Dec  8 11:03:48 postfix/policy-spf[6640]: Policy action=550 Please see
>> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server
>> Dec  8 11:03:48 postfix/smtpd[6630]: NOQUEUE: reject: RCPT from unknown[45.64.137.138]: 550 5.7.1 <X>: Recipient address rejected:
>> Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server; from=<KREDITOREN at DERTOUR.de>
>> to=<X> proto=ESMTP helo=<[45.64.137.138]>
>> Dec  8 11:03:48 postfix/smtpd[6630]: disconnect from unknown[45.64.137.138] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5
>> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection rate 1/60s for (25:45.64.137.138) at Dec  8 11:03:47
>> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection count 1 for (25:45.64.137.138) at Dec  8 11:03:47
>> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max cache size 1 at Dec  8 11:03:47
>> Dec  8 11:10:46 postfix/smtpd[6949]: connect from ip4daa1d85.direct-adsl.nl[77.170.29.133]
>> Dec  8 11:10:47 postfix/policy-spf[6959]: Policy action=550 Please see
>> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server
>> Dec  8 11:10:47 postfix/smtpd[6949]: NOQUEUE: reject: RCPT from ip4daa1d85.direct-adsl.nl[77.170.29.133]: 550 5.7.1 <X>: Recipient
>> address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server;
>> from=<KREDITOREN at DERTOUR.de> to=<X> proto=ESMTP helo=<ip4daa1d85.direct-adsl.nl>
>> Dec  8 11:10:47 postfix/smtpd[6949]: disconnect from ip4daa1d85.direct-adsl.nl[77.170.29.133] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1
>> commands=3/5
>>
>> Gruß Daniel
>>
>>
>

Mehr Informationen über die Mailingliste Postfixbuch-users