Attacken auf Mailstation

[derlaie]

Hallo liebes Dorf,

ich habe ein bis zwei kurze Fragen zum Thema.

1.) Anzahl der Angriffsversuche

Normalerweise habe ich alle paar Tage mal ein-vier oder fünf IPs die geblockt wird, wegen wiederholt falschen Login-Daten. Aber ich hatte jetzt gestern zum dritten mal den internationalen Tag des Mailserver-Hacks. Gestern gab es über dreißig geblockte IPs!!!! Alle völlig unterschiedlicher Herkunft... Brasilien, Hong Kong, Portugal, Mexico, Italien, Vereinigte Arabische Emirate, Peru, Vietnam, Singapur, Südafrika, Indonesien, China, Türkei, Spanien... und und und. Teilweise gibt es zwar mehrere Attacken aus einem Land, aber zeitlich meißt verschachtelt mit anderen. Auffällig ist, das trotz der geografischen Streuung die Attacken fast alle in einem relativ klaren Rhytmus erfolgen. Alle 15 Minuten, Stunden später dann alle 20 Minuten und das halt auch aus verschiedenen Ländern!
Wie soll man eine solche starke Häufung von "Zufällen" deuten???

a) Darf ich davon ausgehen, dass hier eine - sagen wir mal - größere vielleicht staatliche Organisation versucht Zugriff zu erlangen?

b) Da ich in der Firewall die GEO-IP-Sperre (nenn die jetzt einfach mal so...) verwende, müssten doch eigentlich die meißten der IPs sowieso und direkt nach dem ersten Versuch geblockt werden, oder? Allerdings sind alle Mails dazu gleich:"BLA BLA BLA ...hat 2 vergeblich versucht sich beim Dienst Mail Server auf NAS innerhalb von 5 Minuten anzumelden und wurde um DATUM UHRZEIT blockiert."

2.) Wie oft habt ihr solche Attacken???

Danke und lieben Gruß an alle

Stefan

 

[blinddark]

Ich habe die Attacken auch gehäuft in den letzten Tagen. Mein Problem ist nur, dass ich die geofirewall nicht selbst aktivieren kann, da dieses Menü nicht für Blinde geeignet ist. Hat jemand eine Idee, über welche Konfigurationsdatei ich das realisieren kann?

 

[stefan_lx]

die conf-Datei ist die /etc/firewall/eth0.conf (oder die eth1.conf)
die Regeln selber werden dann in den dump-Dateien /etc/firewall_*.dump zusammengebaut.

hab mal an den Regeln was rumgespielt, hier Regeln als Beispiele.. die Portdefinitionen sind da auch nicht ganz uninteressant...

[RULE_00005]
        ports=SYS:vpn_server_openvpn
        enabled=1
        source=GEOIP:AT,CH,DE,IT
        protocol=2
        allow=0
[RULE_00006]
        ports=SYS:cloudstation,mail_imaps,https
        enabled=1
        source=GEOIP:AT,CH,DE,IT
        protocol=1
        allow=0
[RULE_00013]
        ports=SYS:SYNO.SDS.App.FileStation3.Instance_https
        enabled=0
        source=all
        protocol=1
        allow=0
[RULE_00014]
        ports=SELF:4711:dest
        enabled=1
        source=all
        protocol=1
        allow=0

Stefan

 

[jahlives]

@derlaie
willkommen im Klub Das ist vollkommen normal wenn sich mal "rumgesprochen" hat, dass da ein Mailserver läuft. Staatlich? Glaub ich kaum. Der Staat würde einfach kommen mit einem richterlichen Beschluss und dir deinen Server beschlagnahmen Das dürften Spammer sein, welche offene Relays bzw Relayserver mit sehr einfachen Zugangsdaten suchen.
GeoIP Sperren bringen imho überhaupt nichts eher sogar noch mehr Ärger. Ein Netz, das heute einem russischen Provider gehört könnte morgen schon dem rosa Riesen gehören
Etwas was imho am ehesten was bringt ist es die AUTH auf Port 25 komplett abzuschalten und nur noch auf Port 587 oder 465 mit SSL zuzulassen.Allerdings werden in Zukunft die Spammer sicher auch die anderen Ports probieren.
Solche "Attacken" sind absolut normal und kommen dauernd vor. Stell den Mailserver ab und Ruhe ist