IP Adresse beim initialen Kontakt blocken

Frank Kirschner fk+postfix at celebrate.de
Fr Okt 30 13:17:09 CET 2020


> Am 30.10.2020 um 12:45 schrieb sebastian at deiszner.de:
>
>> Moin,
>>
>> wie ermittelst Du denn diese Adressen?
>>
> Hallo Sebastian,
>
> wir haben hier mehrere öffentliche Dienst. (www, smtp, imap ..)
> Dort werden die Logfiles mit fail2ban analysiert, das Ergebnis melden 
> wir u.a. an abuseipdb
> und loggen das in eine interne Datenbank. Ein eigenes Programm sammelt 
> zyklisch Informationen
> zu den IP Adressen: daraus werden Vektoren erstellt:
> - welche IP wie oft welchen Dienst nicht konform nutzt
> - auf wem die IP registriert ist z.B. Shodan.io
> - in wie weit zusammenhängende Subnetze aus den einzelnen IP's 
> generiert werden
> - gibt es zu verschiedenen IP identische Anfragen, z.B. fragt eine IP 
> einen SMTP Server nach "GET HTTP1.0" was ja sinnfrei ist
> Parallel dazu werden aus öffentlich verfügbaren Datenbanken z.B. 
> abuseipdb Informationen abgefragt; aus dem allen errechnet
> sich ein Risiko Scoring. Dies wird immer zur IP gespeichert und die 
> zeitliche Entwicklung des Scorings protokolliert.
>
> Aktuell werden IP's ab einem bestimmten Level in die jeweilige 
> Firewall der Server hinterlegt, was asynchron erfolgt.
> Hier habe ich rbldnsd aufgesetzt, welches aktuell Postfix dann die 
> Info liefert und einen entsprechenden Link in die abgelehnte Email
> einbaut, wo man um Reputation bitten kann.
>
> Zukünftig soll erst einmal eine Info erfolgen, ab einem bestimmten 
> Level (DDOS) dann ein Firewall block.
>
> lg Frank
>



Mehr Informationen über die Mailingliste Postfixbuch-users