MailPlus Server Blocken einer „never ending“ Brute Force Attack auf den Mail-Server

Adler2208 · 17. Sep 2023

Hallo,

ich werde seit fast 1 Woche mit postfix Login Versuchen im 2 Minuten Takt mit wechselnden IP Adressen überflutet.

Mein IP blockig steht auf 1 Fehlversuch wird sofort dauerhaft geblockt.
Außer dem temporären Abschaltens weiß ich aktuell keine weitere Abhilfe.

Habt Ihr noch Hinweise was ich unternehmen kann?

Es gab in anderen Foren auch den Hinweis über DNSBS Server ein Blocking zu erreichen.

PS: Bitte keinen Diskussion warum ich eigentlich einen privaten Mailserver betreibe und ob das sinnvoll ist.

Diese Frage stellt sich nicht.

Danke

Gruß Chris

Anzeige · 17. Sep 2023

Hallo Adler2208,

Bücher und Hardware zum Thema gibt es bei Amazon: Blocken einer „never ending“ Brute Force Attack auf den Mail-Server

plang.pl · 17. Sep 2023

Geoblocking + Block-Script https://www.synology-forum.de/threads/staendige-anmeldeversuche-am-dsm.122250/post-1103343
Dazu könntest du noch CrowdSec einsetzen

Adler2208 · 17. Sep 2023

Das ging schnell - Geoblocking hatte ich auch schon versucht jede IP Adresse kommt scheinbar willkürlich aus einem einem anderen Land/Kontinent.

Die beiden anderen Hinweise gehe ich nach und gebe hierzu im Forum eine kurze Rückmeldung.

Danke für die schnelle Antwort….

Slakish · 18. Sep 2023

plang.pl schrieb:
Geoblocking + Block-Script https://www.synology-forum.de/threads/staendige-anmeldeversuche-am-dsm.122250/post-1103343
Dazu könntest du noch CrowdSec einsetzen

Gibt es hier irgendwo eine gute Anleitung für Crowdsec auf der Synology?

alexhell · 18. Sep 2023

Ich weiß nicht, ob das sogut funktioniert mit Synology. Weil du musst an diversen Configs was ändern und ob die z.B. ein Update überstehen weiß ich nicht. Ich würde sowas eher im Docker aufsetzen. Ich nutze Crowdsec mit Docker-SWAG (Reverse Proxy) und das funktioniert super. Dazu gibt es im Forum auch eine Anleitung.

Slakish · 18. Sep 2023

Ah okay danke. Ja eigentlich wollte ich den Reverse Proxy auch Auslagern aber der Server ist gerade so unzuverlässig... Werde ich mal Angehen. UDM Pro + Crowdsec hält hoffentlich den großteil ab.

Adler2208 · 18. Sep 2023

Adler2208 schrieb:
Das ging schnell - Geoblocking hatte ich auch schon versucht jede IP Adresse kommt scheinbar willkürlich aus einem einem anderen Land/Kontinent.

Die beiden anderen Hinweise gehe ich nach und gebe hierzu im Forum eine kurze Rückmeldung.

Danke für die schnelle Antwort….

Kurze Rückmeldung zum Thema Skript - das hat Super geholfen - die Frequenz der Login Versuche hat sich deutlich reduziert…..

CrowdSec - das wäre cool wenn es einen Link zur Anleitung für die Umsetzung mit Docker gibt….

Gruß Chris