Autoblock -> Mailserverplus

Status
Für weitere Antworten geschlossen.

Karle

Benutzer
Mitglied seit
29. Mai 2011
Beiträge
353
Punkte für Reaktionen
9
Punkte
18
Hallo,

überwacht das autoblock der DSM nicht auch den Mailserver plus ?

Ich habe im Log immer viele Login-Versuche mit falschen Benutzernamen von externen IP's ... da probiert es mancher 100erte mal.

Sieht in etwa so aus:

Warning Verbindung 2018/06/20 22:32:32 postfix User [covenant@xxxx.de] from [181.214.206.119] failed to log in via [MailPlus Server] due to authorization failure.
Warning Verbindung 2018/06/20 22:31:58 postfix User [jreyes@xxxx.de] from [181.214.206.119] failed to log in via [MailPlus Server] due to authorization failure.
Warning Verbindung 2018/06/20 22:31:26 postfix User [xinger@xxxx.de] from [181.214.206.119] failed to log in via [MailPlus Server] due to authorization failure.

xxxx = meine Domain


Gruß

Karl
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Das solltest Du im Log sehen können... Normalerweise gibt es da ein entsprechendes jail im fail2ban. Ist übrigens - wenn Du es genau wissen willst - "ganz normal" sowas :)
 

Karle

Benutzer
Mitglied seit
29. Mai 2011
Beiträge
353
Punkte für Reaktionen
9
Punkte
18
ja das weiß ich schon, dass das normal ist ... ich hatte nur gedacht der Autoblock spricht darauf an.

Mir wäre jetzt nicht bekannt, dass der Mailserver/DSM fail2ban installiert hat.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Na was meinst Du denn, was diese automatische Blockierfunktion ist? Denke nicht, dass die da was neues aus der Mütze gezaubert haben :eek: Wie gesagt, schau einfach in die Logs, dann siehst Du ja, ob die IP entsprechend gesperrt wird oder nicht.
 

Karle

Benutzer
Mitglied seit
29. Mai 2011
Beiträge
353
Punkte für Reaktionen
9
Punkte
18
nein wird sie anscheinend nicht, sonst wäre sie ja in der Liste der blockierten IP's drin.

Da sind auch einige drin, aber die haben es nicht am Mailserver probiert.

Ergo scheint Autoblock (ob das jetzt fail2ban ist oder nicht) den Mailserver (postfix) nicht zu prüfen.

Gruß

Karl
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Nutze die Mailstation nicht, aber..... autsch?! Irgendwas muss es da aber geben, ansonsten kann man die Mailstation ja völlig in die Tonne kloppen... Kann ich mir eigentlich nicht vorstellen, dass Synology das wirklich "so" umgesetzt hat.
 

Karle

Benutzer
Mitglied seit
29. Mai 2011
Beiträge
353
Punkte für Reaktionen
9
Punkte
18
das hatte ich schon in den Einstellungen gesucht, bin aber nicht fündig geworden.

Daher wundert mich das Verhalten ja und daher auch der Thread.

Auf meinem alten Mailserver hatte ich fail2ban drauf ... da wurde das immer zügig abgestellt.

Gruß

Karl
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Kleiner Tip vielleicht noch... zum einen - ist ja bekannt - direkt Ländersperre einrichten für die wichtigsten Dinge und...

AS64484 181.214.206.0/24 Rober Spence

Denke nicht, dass Du gross was mit "Rober Spence" an der Mütze haben wirst... klopp das ganze Netz in die Firewall mit einer deny-all-Regel und Ruhe ist (falls da auch noch andere Server von denen komprimitiert sind). Russland und China z.B. kann man meiner Meinung nach sowieso immer sperren, damit hat man dann auch schon das gröbste weg :)

EDIT: Mal wieder unter den Top3 diese Woche (Platz 2): AS49981 92.63.193.0/24 (Russland) mit schlappen 56.143 verworfenen Paketen, aber bevor hier wieder auf die Russen geschimpft wird: Es sind "nur" 2,80%. Nummer 1 diese Woche ist ein Server aus den Niederlanden (aber auch nur 56.936 Pakete und somit nur 2,84%).

EDIT2: Kleine Korrektur: AS57227 85.59.244.0/22 (auch Russland) direkt mehrfach drin, zwar nur mit ~1,5% je, aber die Summe machts :rolleyes:
 
Zuletzt bearbeitet:

Karle

Benutzer
Mitglied seit
29. Mai 2011
Beiträge
353
Punkte für Reaktionen
9
Punkte
18
Aha dann ist das wohl wirklich so ... bei mir ist es am mailplus server.

Ja die Länder habe ich schon gesperrt, aber da fällt der ja nicht drunter, bleibt wohl wirklich nur die IP Sperre in der firewall.
Gruß

Karl
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Und was ist, wenn meine chinesischen Freunde mir eine Mail schicken wollen?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
IPs sperren ist nicht gut, sperr lieber direkt ganze Netze (die Du eh nie brauchen wirst...). Gibt Seiten, wo Du gezielt nach den IPs schauen kannst und als Antwort Autonome Systeme, Netze und deren Betreiber finden kannst. Schau da einfach nach und im Falle wie oben ("Rober Spence").. schmeiss einfach das ganze Netz in die Firewall und Ruhe ist. Wenn die nix patchen, wird es nicht das letzte System sein von denen was sich bei Dir meldet, ggf. ist es nämlich der gleiche Angreifer und auf dem seiner Liste steht nunmal Deine IP :eek:

EDIT: @rednag: er nu wieder.... :p;)
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat