Danke für die ausführliche Beschreibung, Johannes. Das schaue ich mir dann mal genauer an...
SSL-Port hatte ich übrigens schon angepasst.
Bye, Mike
Beiträge von shadowman
-
-
Im Image von Debian Wheezy oder Jessie mit Froxlor ist Apache 2.4, mysql, php5, dovecot, postfix, froxlor selbst natürlich, proFTP, bind9 mit installiert. siehst du auch im Admin Interface unter "System > Einstellungen".
Danke für die Info! Die Benachrichtigungen klappen auch ohne dovecot, da werde ich das schonmal deinstallieren. Postfix selber brauche ich leider für systemseitige Emails an Nutzer. Dennoch bleibt für mich die Verständnisfrage: Warum können über die IPtables gebannte IPs trotzdem wieder über SASL Einloggversuche starten. Das kann ich nicht ganz verstehen...
Bye, Mike
-
zumindest die IP, welche du in dem Auszug vom Mailprotokoll zeigst, sehe ich nicht in der iptables -Liste.
Gruss
Das stimmt. Liegt daran, dass Fail2Ban derzeit nur SASL blockt, kein Pop3. Hatte ich nicht auf dem Schirm.
-
dovecot standardmässig ? Keine Ahnung, ich zieh eine Minimalinstallation vor und ziehe dann "meine" Packageliste nach
BTW: hast du nun Debian 8 (Jessie) oder Wheezy installiert ? Wheezy ist ziemlich alt, dort endet selbst der LTS-Support im Mai 2018. Wenn nicht spezielle Software ein Update verbietet, dann würde ich durchaus auf Stretch gehen.
Gruss
Sorry, es ist Jessie. Und ich hab das Image von Netcup aufgespielt. Minimal war mir zu riskant, da ich ein funktionierendes System mit Apache2, PHP und Mysql brauchte und da noch nicht so firm bin. Habe aber dovecot erstmal gestoppt und schaue, ob Systemnachrichen weiter durchkommen. Wenn ja, deinstalliere ich das Paket dann im Nachgang. Warum die IPs von Fail2Ban trotzdem durchkommen, versteh ich aber immer noch nicht...
-
ich hab Mist geschrieben, sorry: mynetworks legt fest, welche Netze berechtigt sind, postfix zu nutzen. Wenn postfix nur lokal laufen soll, dann müsstest du den Paramter inet_interfaces ändern auf loopback-only (oder 127.0.0.1 [::1]) defaultmässig steht der Wert m.E. auf all - daher ist postfix auch von aussen erreichbar.
HInsichtlich dovecot: wenn nicht gebraucht, Dienst stoppen bzw. deinstallieren.
Gruss
Kein Problem. Habe es so geändert. dovecot würde ich deinstallieren. Ich bin mir nur nicht sicher, ob das nicht doch irgendwo gebraucht wird.
Daher würde mich interessieren, ob das standardmäßig im Image von Debian Wheezy auf 64Bit Basis mit installiertem und vorkonfiguriertem Froxlor bei Netcup auch dovecot mit enthalten ist und irgendwo gebraucht wird.
-
Wenn du iptables mit dem -n Flag aufrufst nicht. Ansonsten wird versucht den PTR-Record für die entsprechende IP zu bekommen.
Stimmt, wieder was gelernt. Hier nochmal die gesperrten IPs:
ZitatAlles anzeigenChain fail2ban-sasl (1 references)
target prot opt source destination
REJECT all -- 82.214.127.122 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 186.96.92.210 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 41.226.11.226 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 191.96.249.63 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 84.213.117.190 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 190.194.115.39 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 201.48.143.208 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 37.189.246.168 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 94.20.67.148 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 105.186.193.115 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 95.97.101.138 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 201.236.111.84 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 93.207.49.135 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 81.133.190.195 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 88.26.230.20 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 41.191.224.5 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 81.134.83.124 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 170.231.44.104 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 118.163.4.1 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 95.211.34.70 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 163.158.165.204 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 190.2.52.53 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 200.85.52.74 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 178.159.36.29 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 41.251.248.201 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 89.163.209.122 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 92.222.73.194 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 151.80.42.41 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 91.200.12.201 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 80.82.78.85 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 80.82.78.170 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 91.200.12.167 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 211.72.217.11 0.0.0.0/0 reject-with icmp-port-unreachable
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Und da ist dann auch die 92.222.73.194 mit dabei.
-
in dem Fall war postfix von aussen gar nicht erreichbar. Wird fail2ban durch Login-Versuche auf imaps/pop3s getriggert ? Sollte in den Maillogs erkennbar sein ..
Gruss
Also gelegentlich sind auch solche Einträge drin:
ZitatOct 12 07:13:30 v22017104994954015 dovecot: pop3-login: Disconnected (no auth attempts in 10 secs): user=<>, rip=104.236.165.248, lip=xxx.xxx.xxx.xxx., session=<RVPimVJbugBo7KX4>
Oct 12 07:14:17 v22017104994954015 dovecot: imap-login: Disconnected (no auth attempts in 10 secs): user=<>, rip=104.236.140.84, lip=xxx.xxx.xxx.xxx, TLS handshaking: Disconnected, session=<0EKonFJbrgBo7IxU>
Oct 12 08:04:06 v22017104994954015 dovecot: pop3-login: Disconnected (no auth attempts in 10 secs): user=<>, rip=104.236.190.198, lip=xxx.xxx.xxx.xxx, TLS handshaking: Disconnected, session=<MdzMTlNbKABo7L7G>
Oh ich seh grad selber, da scheint auch dovecot zu laufen. Ist das in der Standard-Distribution von Debian mit dabei? Ich hab das nicht bewusst installiert und brauch es eigentlich auch nicht. Mediawiki und Wordpress senden doch über Postfix, oder?
Mir geht es aber vor allem um die recht häufigen SASL-Login Fehler:
ZitatOct 12 08:44:16 v22017104994954015 postfix/smtpd[23030]: connect from unknown[115.231.212.82]
Oct 12 08:44:19 v22017104994954015 postfix/smtpd[23030]: warning: unknown[115.231.212.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Oct 12 08:44:19 v22017104994954015 postfix/smtpd[23030]: lost connection after AUTH from unknown[115.231.212.82
-
Wenn du SMTP login nicht brauchst, solltest du den Dienst stoppen. Nur nach außen Anbieten, was auch gebraucht wird.
Ohne dein Setup zu kennen:
Bei Postfix lässt du nur lokale Sender zu mit:
Codemynetworks = 127.0.0.0/8, [::1]/128Hab ich geändert. In der Main.cf stand nur mynetworks = 127.0.0.0/8
-
Der Witz ist aber, dass ich gerade merke: Die angeblich schon gebannten IPs finden sich gar nicht in den IPtables.
Beispiel:
2017-10-13 11:59:28,615 fail2ban.actions[9649]: INFO [sasl] 92.222.73.194 already banned
Und warum macht die iptables aus IP-Adressen teilweise richtige URLs??
-
Fail2Ban sperrt die IPs ja über iptables. Sollten deine Tabellen nun dummerweise so aufgebaut sein, das eine Regel die gesperrten Angreifer durchlässt bevor die Regel zum Sperren greift, dann wäre das eine Erklärung. Man müssten also deine iptables dafür kennen.
Okay, hier mal meine aktuelle iptables:
ZitatAlles anzeigenChain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-sasl tcp -- anywhere anywhere multiport dpor ts smtp,urd,imap2,imap3,imaps,pop3,pop3s
fail2ban-ssh tcp -- anywhere anywhere multiport dport s ripd
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-sasl (1 references)
target prot opt source destination
REJECT all -- p5DCF3187.dip0.t-ipconnect.de anywhere reject-w ith icmp-port-unreachable
REJECT all -- host81-133-190-195.in-addr.btopenworld.com anywhere reject-with icmp-port-unreachable
REJECT all -- 20.red-88-26-230.staticip.rima-tde.net anywhere reject-with icmp-port-unreachable
REJECT all -- 41.191.224.5 anywhere reject-with icmp-p ort-unreachable
REJECT all -- host81-134-83-124.range81-130.btcentralplus.com anywhere reject-with icmp-port-unreachable
REJECT all -- 170.231.44.104 anywhere reject-with icmp-p ort-unreachable
REJECT all -- 118-163-4-1.HINET-IP.hinet.net anywhere reject- with icmp-port-unreachable
REJECT all -- mail.icthijs.nl anywhere reject-with icmp-p ort-unreachable
REJECT all -- 204-165-158-163.dynamic.caiway.nl anywhere reje ct-with icmp-port-unreachable
REJECT all -- customer-static-2-52-53.iplannetworks.net anywhere reject-with icmp-port-unreachable
REJECT all -- 200.85.52.74 anywhere reject-with icmp-p ort-unreachable
REJECT all -- host12.pht660n.com.br anywhere reject-with icmp -port-unreachable
REJECT all -- static41-201-251-250-251.static41-16.iam.net.ma anywhere reject-with icmp-port-unreachable
REJECT all -- rs002369.fastrootserver.de anywhere reject-with icmp-port-unreachable
REJECT all -- 194.ip-92-222-73.eu anywhere reject-with icmp-p ort-unreachable
REJECT all -- ns3007220.ip-151-80-42.eu anywhere reject-with icmp-port-unreachable
REJECT all -- newsoft101.example.com anywhere reject-with icm p-port-unreachable
REJECT all -- 80.82.78.85 anywhere reject-with icmp-p ort-unreachable
REJECT all -- srv17.hqserver.net anywhere reject-with icmp-p ort-unreachable
REJECT all -- systemip8.example.com anywhere reject-with icmp -port-unreachable
REJECT all -- IDEALBIKE.COM.TW anywhere reject-with icmp-p ort-unreachable
REJECT all -- 191.96.249.63 anywhere reject-with icmp-p ort-unreachable
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
-
Folgende Ausgangssituation:
(V)Root-Server von Netcup mit Debian 8 und installiertem Fail2Ban sowie konfiguriertem SASL-Filter.
Fail2Ban erkennt fehlerhafte Logins und sperrt die IPs über die IPTable. Aber: Diverse IPs kommen danach weiterhin rein und werden dann im Log von Fail2Ban als "already banned" gekennzeichnet. Irgendwas stimmt mit der Gesamtkonfiguration also noch nicht.
Ich weiß aber nicht so recht, wo ich da noch ansetzen muss. Eigentlich müsste das doch klappen, sobald eine IP in der IPtable mit rejected gekennzeichnet ist?
Falls ich auf diesem Weg nicht weiterkomme, wäre meine nächste Idee, SASL Login komplett zu verbieten. Ich nutze den Server nicht für eingehende Mails, das geht alles über einen anderen Anbieter. Der Server muss lediglich Systemnachrichten von Mediawiki und Wordpress verschicken. Nach meinem Verständnis wäre es also doch möglich, sämtlichen eingehenden Verkehr zu sperren und damit auch die Spammer auszuschließen. Wäre das umsetzbar und wie bewerkstellige ich das denn am besten?
Bye, Mike
-
Okay, jetzt hab ich auch den Button für "Thema erledigt" gefunden. Muss ja alles seine Ordnung haben
-
Danke für die Hilfe @all!!
scbawik lag genau richtig. Es war ein Konfigurationsfehler von mir. Nachdem ich das Häckchen "als Mailserver verwenden" in Froxlor rausgenommen habe, funktioniert alles!
Somit ist das Problem behoben...
Bye, Mike
-
Okay, das sind weitere gute Hinweise. Generell klappt ja der Mailversand, nur eben nicht @xxx.de - also auf die aufgeschaltete Domain. Da ich mir ja nur selber an meine Adress Mails sende, sollten die anderen Nutzer ja Mails bekommen. Ich selber schicke mir die Benachrichtigungen erstmal an eine andere Adresse. Aber ich denke auch, der Server lauscht mit der Domain auf Emails. Da müsste ich mal schauen, wo ich das deaktivieren kann.
Edit: ich glaube ich habe es, bei der Domain war noch ein Häckchen unten "als Mailserver verwenden". Das muss sicherlich raus. Dann teste ich nachher nochmal...
-
Der SPF-Record der Domain dient als zusätzlicher Spamschutz und blockt, soweit unterstützt, Mails die nicht vom eigenen MX versendet wurden.
Du könntest dort aber einfach deinen VServer noch hinzufügen.
z.B.: v=spf1 mx ip4:111.222.333.444 ~all
Okay, das ist ein guter Tipp. Ich habe als erstes mal meine Emailadresse im Mediawiki geändert und bekomme nun wieder Benachrichtigungen. Ich trage mal die AP ein und schaue, was passiert. Grundsätzlich versendet Postfix meine Mails also...das ist ja schon einmal gut.
Danke!!!
-
Nachtrag: Kann es sein, dass die Emailadress vom Empfänger abgelehnt wird, da diese nicht vom Mailserver stammt?
Im DNS steht noch dieser Eintrag:
Lässt sich das ändern, ohne den Mailaccount umzuziehen?
TXT
=spf1 mx -all
-
Ich habe ein kleines Problem mit einem virtuellen Root-Server. Dort ist Mediawiki installiert und läuft auch problemlos. Die zugehörige Domain liegt aber noch bei einem Shared-Hoster und ich habe nur die IPs via DNS angepasst. Der Mailserver selber soll auch beim Shared-Hoster bleiben, weshalb ich diese IP auch nicht angepasst habe. Dennoch soll Mediawiki natürlich Emails versenden, z.b. bei vergessenen Passwörtern oder wenn sich Seiten ändern und ich diese auf beobachten stehen habe. Bisher hat das beim anderen Anbieter alles geklappt, nach dem Umzug aber werden keine Mails versendet. Im Log vom Mailer habe ich folgendes gefunden:
ZitatOct 9 11:31:28 v22017104994954015 postfix/pipe[11055]: 2CB9F41402: to=<xxx@xxx.de>, relay=dovecot, delay=0.02, delays=0/0/0/0.02, dsn=5.1.1, status=bounced (user unknown)
Den User gibt es aber, halt nur auf einem anderen Webserver. Kann das damit zusammenhängen?
Muss ich noch irgendwas eintragen, damit ich Mails mit der vorgesehenen Adresse versenden kann? Email-Benachrichtigungen von Froxlor z.b. funktionieren problemlos...
Danke schonmal für die Hilfe
