ComputerBase Menü
Aktuelles

IP Adresse blockieren (Mailserver)

I

Inanias

Gast
Hey =)

Ich habe mir auf meinem Synology-NAS (DSM 4.3) einen Mailserver eingerichtet.

Vorgestern Abend hat jemand solange versucht sich als "test" einzuloggen, bis der smtpd Prozess sich beendet hat.
Direkt nach dem ersten Versuch wurde die IP um 18:50:14 automatisch blockiert und es ging eine Mail an mich raus.
Wie ihr unten sehen könnt, hat das allerdings nicht gebracht (Warum? 30 sec sind doch genug Zeit...).

Das ganze war jetzt nicht weiter schlimm, ich konnte nur kurz keine Mails mehr empfangen.
Problematisch ist, wenn sowas passiert und ich nicht zuhause bin. Deswegen würde ich das gerne verhindern.

Habt ihr eine Idee wie ich am besten IP-Adressen blockiere?

Am besten wäre natürlich, wenn Anfragen von meiner Blacklist direkt verworfen werden.
Eigentlich wäre hierfür natürlich der Router das richtige Gerät, aber ich hab natürlich nur einen begrenzten Heimrouter hier (Cisco X2000).

Code: 
Feb 23 18:50:13 NAS postfix/smtpd[2889]: connect from unknown[107.150.42.210]
Feb 23 18:50:13 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:13 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:14 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:14 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:14 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:16 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:17 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:17 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:19 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:19 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:19 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:21 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:22 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:22 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:24 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:24 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:24 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:26 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:26 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:26 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:28 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:29 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:29 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:30 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:31 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:31 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:33 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:33 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:33 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:35 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:37 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:37 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:40 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:42 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:42 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:45 NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
Feb 23 18:50:48 NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
Feb 23 18:50:48 NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Feb 23 18:50:48 NAS postfix/smtpd[2889]: fatal: too many errors - program terminated
Feb 23 18:50:49 NAS postfix/master[9429]: warning: process /var/packages/MailServer/target/libexec/smtpd pid 2889 exit status 1
Feb 23 18:50:49 NAS postfix/master[9429]: warning: /var/packages/MailServer/target/libexec/smtpd: bad command startup -- throttling
 
Die Frage ist eher, warum sich der smtp-Prozess verabschiedet hat, er sollte ja mit deutlich mehr fehlgeschlagenen Logins umgehen können. Sicher, dass das Log hier nicht falsch interpretiert wird? Hast du über die Shell Konfigurations-Files manuell angepasst? Hast du den Mailserver dann manuell neu gestartet?

Des Weiteren: Du sendest deine Mails wahrscheinlich über einen Relay!? Falls ja, nutze diesen auch für den Empfang. Ansonsten hast du immer das Problem, wenn dein DSL-Anschluss ausfällt oder nur der Strom, gehen die Mails verloren. Ich habe das auch ne Weile so wie du gemacht, nämlich genau bis zum ersten DSL-Ausfall. :D

Die IP-Adresse kann nur das NAS blockieren, deartige Angriffe kommen permanent über wechselnde IP´s, daher kommst du nicht weiter, wenn du diese eine IP jetzt irgendwie zusätzlich im Router blockst.
 
1.) Was Mamba sagte hinsichtlich Ausfallsicherheit...
2.) Du wirst von nem Heim-Anschluss keine Mails versenden können bzw. solltest du nicht. Die IP-Bereiche von Heim-IPs werden bei allen großen Dienstleistern geblockt, weil sie die Haupt-Spamquelle sind. Spätestens wenn du keinen treffenden Reverse-DNS angeben kannst (und das kannst du mit nem Heim-Anschluss nicht), wirst du von quasi jedem ernsthaften Maildienstleister der Welt kommentarlos abgewiesen. Ok, nicht ganz kommentarlos. Du bekommst eine Fehlermeldung, ich glaub 550.
3.) Postfix verhält sich nicht so wie bei dir, so ein Verhalten konnte ich noch nie beobachten. Bist du sicher, dass dein Auth korrekt eingerichtet ist? Ernsthafte Mailserver (wie z.B. den, den ich für die Firma administriere) werden permanent von Brute-Force - Attacken bombardiert, Postfix schüttelt sich da mal kurz und verrichtet weiter seinen Dienst.
4.) Das Zauberwort, um Brute-Force gepflegt im Sande verlaufen zu lassen, lautet Fail2Ban.
 
Zu 2) Man bekommt keine Fehlermeldung, der empfangene Server deklariert deine Mails schlicht als Spam, und das wars. Habe das ausgiebig ausprobiert. :D
 
Ja, das hat mich auch gewundert. Aber wenn er erst 5 Minuten später wegbricht hilft das nicht wirklich.
Der Prozess war danach tatsächlich nicht mehr vorhanden.
Ich habe postfix neugestartet, das ganze NAS aber nicht. Danach war der Prozess auch wieder da.
Die einzige Anpassung ist "smtpd_tls_loglevel = 1"
Soll ich mal postconf hier posten? Ist aber ziemlich viel :D

Nein, einen Relay benutze ich nicht. Meine DSL-Anbindung ist zum Glück sehr stabil.
Bei GMX konnte ich auch beobachten, dass die Zustellung bei Nichterreichbarkeit einfach später nochmal probiert wird.
(Ich hatte GMX mal testweise blockiert um zu schauen wie es sich da verhält.)

Ja das stimmt wohl, wie könnte ich denn überprüfen ob die automatische IP-Blockierung prizipiell funktioniert?
Vielleicht ging es tatsächlich nur zu schnell, die Befehle waren schon da und wurden dann abgearbeitet.
Dann müsste ich ja nur smtpd mehr standfestigkeit verleihen.

EDIT:

2) Ja, das weiß ich. Stört aber für meine Anwendungszwecke nicht wirklich. Ich empfange zu 99% nur, für die 1% hab ich dann noch meine GMX-Adresse.

3) Konfiguration ist Standard, kann sie aber wiegesagt gerne mal posten.

4) Ich schau mal ob ich Fail2Ban dort installieren kann, danke für den Tipp :).

EDIT2:

Ich hab die postconf mal angehängt.
Den Hostnamen und die Domain hab ich durch <hostname> und <domain> ersetzt, sonst ist alles unverändert.
 

Anhänge

Zuletzt bearbeitet von einem Moderator:
Green Mamba schrieb:
Zu 2) Man bekommt keine Fehlermeldung, der empfangene Server deklariert deine Mails schlicht als Spam, und das wars. Habe das ausgiebig ausprobiert. :D
Zum Vergrößern anklicken....
Meine Erfahrung sieht anders aus. Sommer/Herbst letzten Jahres haben einige Maildienstleister, ich glaube auch GMail, auf IPv6-Empfang umgestellt. Unser sendender Mailserver hatte noch keinen RDNS-Eintrag für IPv6 (irgendwo untergegangen, brauchte niemand). Die Folge waren RDNS-Fehler von diesen Dienstanbietern, da hatten wir dann permanent Nachrichten von unserem eigenen Mailer Daemon in der Post, dass etwas schrecklich schief gegangen ist.
Also mein Erfahrung der letzten Jahre mit einigen Großen: Kein sauberes RDNS -> Abgewiesen und ne nette Nachricht vom eigenen Mailer Daemon (550).

Inanias schrieb:
3) Konfiguration ist Standard, kann sie aber wiegesagt gerne mal posten.
Zum Vergrößern anklicken....
Das Teil liest doch kein Schwein *G*
Bei vielen Distributionen ist der Standard aber eher... mau. Er riecht dann verdächtig nach Open Relay. Hier solltest du definitiv mal mit ein paar Tutorials drüber gehen.
http://www.howtoforge.com/perfect-server-ubuntu-12.04-lts-apache2-bind-dovecot-ispconfig-3 <- Lass den ISPConfig-spezifischen Teil und alle Dienste, die dich nicht tangieren, weg. Der Rest ist erstklassig.
 
Ich hab die config oben angehängt, falls doch jemand Interesse hat :D.
Danke fürs Howto, ich schaus mir an.

Der Link geht nicht, aber ich weiß was du meinst.
Ich such mir grad mal ne passende Anleitung :).
 
Ähm, der Link funktioniert schon. Genau genommen funktioniert mein Link genauso wie der von Daaron.
 
Der Link von Daaron funktioniert, deiner von hier aus nicht.
Ist aber auch egal, ich weiß was du meinst und habs woanders gefunden.

Jetzt ist mir folgendes aufgefallen:
Die automatische Blockierung erfolgt sofort, auch die Mail, nur die Verbindung wird erst nach einiger Zeit getrennt.
Und bis dahin kann ich munter weiter versuchen mich einzuloggen.

Jetzt muss ich also nur dafür sorgen, dass die Verbindung sofort getrennt wird oder dass smtpd bis dahin standhält.

EDIT:

Sorry, das ist nicht ganz richtig.
Die Verbindung wird erst getrennt, wenn ich 5 Minuten inaktiv war oder nach 20 Versuchen.
Ich kann keine weitere Verbindung mehr aufbauen, mit der bestehenden aber noch begrenzt weitermachen.

EDIT2:

Mir fällt nebenbei grade auf, dass die Prozess-ID von smtpd bei jeder Verbindung eine andere ist.
Das sieht für mich jetzt so aus, als würde smtpd für jede neue Verbindung neu gestartet werden.
Dann wäre es ja unwichtig, dass sich smtpd bei dem mini-DDoS beendet hat und effektiv ist nichts passiert.
Leider habe ich nach dem mini-DDoS postfix direkt neugestartet und nicht getestet ob noch alles funktioniert.
Das würde auch zu dem passen, was Daaron geschrieben hat bei 3).

Kann das sein?
 
Zuletzt bearbeitet von einem Moderator:
Ich bekomme es - auch mit einem Skript - leider nicht hin den Prozess abstürzen zu lassen.

Es kommt anstelle
Code: 
NAS postfix/smtpd[2889]: postfix: USERGetRealUsername(user=test) failed
NAS postfix/smtpd[2889]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
NAS postfix/smtpd[2889]: warning: unknown[107.150.42.210]: SASL LOGIN authentication failed: authentication failure
nur ein
Code: 
NAS postfix/smtpd[3270]: warning: <Ich>[<IP>]: SASL login authentication failed: authentication failure
bei jedem Authentifikationsversuch.

Deswegen endet es bei mir ganz harmlos mit:
Code: 
NAS postfix/smtpd[3270]: too many errors after AUTH from <Ich>[<IP>]
NAS postfix/smtpd[3270]: disconnect from <Ich>[<IP>]

Zu dem "ConvertFullUserName" finde ich kaum was, kA wie ich das nachstellen soll.
 
Jetzt nochmal zurück zum Anfang. War es denn tatsächlich so, dass der Mailserver in irgendeiner Art nach den fehlgeschlagenen Anmeldeversuchen nicht mehr korrekt funktioniert hat, oder hast du das schlicht aus dem Log geschlossen dass es so hätte sein müssen? Falls letzteres, dann würde ich mir dazu keine allzu großen Gedanken machen. :)
 
Code: 
Feb 23 18:50:48 NAS postfix/smtpd[2889]: fatal: too many errors - program terminated
Feb 23 18:50:49 NAS postfix/master[9429]: warning: process /var/packages/MailServer/target/libexec/smtpd pid 2889 exit status 1
Die beiden Zeilen sind schon recht eindeutig.
 
Ich habe das aus den Logs geschlossen.

Die beiden Zeilen würde ich so verstehen, dass nur der Prozess smtpd mit Fehler beendet wurde.
Ich weiß nur nicht 100%tig ob das jetzt harmlos ist, in der Dokumentation von postfix finde ich nur den Hinweis "[...] smtpd(8) processes run for only a limited amount of time. [...]".
Ich nehme mal an du willst mir damit sagen, dass es harmlos ist? :)
 
Zuletzt bearbeitet von einem Moderator:
Nö, harmlos ist das nach meiner Einschätzung nicht.
Ich find in 3 Tagen mail.log (mit ner Menge Traffic) keinen einzigen Exit Status. Aber ja, der smtpd-Prozess lebt nicht ewig. Der älteste bei mir ist grob 15 Minuten alt. Es existiert aber immer ein Rudel davon, und keiner terminiert auf eine Weise, die er im Log breittreten muss.
 
Tja, da muss ich passen... aber ich würde auch nie eine NAS als Mailserver verwenden, was das angeht. Wer sagt dir, dass die notwendigen Pakete nicht ne Macke haben?
 
Naja, Synology hat den Mailserver werksseitig eingebaut und er funktioniert bei mir seit einem Jahr ziemlich gut. Warum auch nicht, ist doch auch nur ein Linux-Server.

@Inanias
Ich kann am Wochenende mal mein Log anschauen und sehen ob da auch solche Meldungen auftauchen. Ansonsten würde ich dir empfehelen, dich mit dem Problem mal an den Syno-Support zu wenden. Würde mich über eine Rückmeldung freuen, das Thema interessiert sicher nicht nur mich. :)
 
Das wäre gut zu wissen.
Bei Google finde ich im deutschen Synology-Forum einen änhlichen Thread, aber ohne jede Antwort.

Ich schaue mal was ich rausbekomme und melde mich hier nochmal bei Neuigkeiten.

Auf jeden Fall schonmal Danke euch beiden fürs helfen! :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Pleistobolinda
Bei GMX eine Spam-Adresse blockieren?
2 3
Antworten
53
Aufrufe
3.989
eYc
eYc
B
IP Adresse blockiert
Antworten
3
Aufrufe
912
Hauro
Hauro
Desoxyribo
MAC adresse blockieren
Antworten
19
Aufrufe
7.722
Fritzler
Fritzler
A
Mailserver mit plesk
Antworten
3
Aufrufe
3.212
Andreas75
A
Aemix
E-mail Adresse blockieren
Antworten
14
Aufrufe
4.909
Aemix
Aemix
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz