Ein paar Fragen zur Mailstation

[swissmaster]

SMTP
So wie mir bekannt ist, versuchen im Inernet Spamer SMTP-Server zu missbrauchen, um halt eben zu Spamen. Da ich eine Dynamische IP habe und deshalb (ich hoffe ich habs richtig verstanden) auf einen SMTP-Relay-Host angewiesen bin, sprich bei mir einer von Selfhost.de, frage ich mich, ob bei meiner Diskstation in diesem Fall SMTP überhaupt aktiviert sein muss. Falls ja stellt sich mir zusätzlich die Frage, ob das Häkchen "SMTP-Authorisation erforderlich" reicht, um gegen unbefugten Zugriff von aussen (Spammern) geschützt zu sein. Ich möchte nicht unbedingt Post von meinem Provider erhalten oder gar auf einer Blacklist landen.

Hibernation der HD
Liegt es lediglich am aktivierten SMTP, dass die DS nicht mehr in den Ruhezustand wechselt? Gibt es hier Lösungsansätze?

Alias
Liege ich richtig in der Annahme, dass wenn bei meiner DS die Benutzer nur mit dem Vornamen z.bsp. Hans erfasst wurden jedoch die Mailadresse sich aus Vor- und Nachnamen zusammegesetzt sind (z.bsp. hans.muster@meinedomain.net), Aliase erstellt werden müssen? Kennt jemand das Package Mailstation Plus, funktioniert dieses zum Anlegen der Aliase zuverlässig?

Spam
In den Einstellungen der DS gibt's eine Option die heisst "Spam-Filter aktivieren". Wie zuverlässig funktioniert dieser standardmässig? Handelt es sich dabei um Spamassassin? Tipps?

Sicherheit
Bei meiner DS werden täglich 20-30 Blocks verzeichnet, durch unberechtigte Zugriffe auf was auch immer mit falschen Logindaten. Daher die Frage, werden von der DS auch jene Leute nach x Versuchen sich mit falschen Logindaten anzumelden geblockt, die dies über das Webmail Interface, über das POP3, IMAP oder SMTP-Protokoll versuchen? Wenn nein stellt dies nicht ein erhebliches Sicherheitsrisiko dar?

Backup
Wie ich verstanden habe, sind diverse Einstellungen mittels SSH (Konsole) nötig. Werden bei einem Firmware Update wieder sämtliche vorgenommene Änderungen verworfen bzw. Überschrieben? Tipps dazu?


Ich bin für eure Hilfe bzw. Tipps sehr dankbar, da ich blutiger Anfänger in dieser Hinsicht bin

Grüsse Tobi

 

[jahlives]

SMTP-auth sollte dich vor Spam, der von deinem Server verschickt wird schützen. Wie immer hängt die Stärke des Schutzes von den Passworten ab. Es gibt aber relativ selten Spammer, die eine BruteForce auf SMTP-Auth machen. Möglich wäre es zwar würde aber sehr viel mehr Ressourcen brauchen. Die Spammer wollen ihren Müll ja schnell loswerden und es gibt genügend offene Relays im Internet. Da müssen sie sich nicht unbedingt mit SMTP-Auth anlegen (dies würde in den Logs auch sehr schnell auffallen)

Der Postfix (smtp) hat Prozesse, die in regelmässigen Abständen die Mailqueue auf neue Files scannnen. Das weckt die Festplatten. Man könnte theoretisch die Queue auf einen Stick legen und den Postfix anpassen. Wäre aber viel Arbeit

Jap dann musst du Aliase von der Mailadresse auf den lokalen User (Hans) erstellen. Ggf kannst du dir auch virtuelle User für den Postfix angucken (mehr dazu haben wir im Wiki)

Da läuft ein Spamassassin, leider in einer recht alten Version. Mit entsprechendem Training sind die statistischen Wortfilter recht zuverlässig (http://www.synology-wiki.de/index.php/Regeln_von_Spamassassin)

Ich weiss nicht genau wie der AutoBlock auf der DS blockt: Ob alle Ports oder nur denjenigen der betroffenen Anwendung. Wenn alle Ports geblockt werden, dann können diese User auch nicht via smtp noch was versuchen

 

[swissmaster]

Das heisst SMTP darf auf der DS nicht deaktiviert werden, sonst funktioniert der Mailversand nicht mehr, auch wenn die Mails über einen Relay-Server von selfhost.de versendet werden?

Was ist der Unterschied zwischen virtuellen Usern und Alias bzw. was sind Vor- und Nachteile?

Gemäss deinem Link für das Training von Spamassassin muss ipkg zwingend installiert sein für die updates, anders ist es nicht möglich? Ich möchte möglichst wenig Dinge verändern, damit ich bei einem Firmwareupdate nicht jeweils tagelang rumfrickeln muss, bis wieder alles läuft...

Hast du gerade nocht irgendwelche sicherheitsrelevante Einstellungen für die Mail Station, die du dringend empfehlen würdest?

 

[jahlives]

Das heisst SMTP darf auf der DS nicht deaktiviert werden, sonst funktioniert der Mailversand nicht mehr, auch wenn die Mails über einen Relay-Server von selfhost.de versendet werden?
Wenn du via deine DS an den Relay senden willst, musst der smtp auf der DS natürlich aktiviert sein

Was ist der Unterschied zwischen virtuellen Usern und Alias bzw. was sind Vor- und Nachteile?
Falsche Frage ;-) Der Unterschied liegt zwischen lokalen und virtuellen Usern. Aliase kennen beide. Lokale Mailuser nennt man sie dann, wenn die User lokal auf der DS existieren d.h. jede Emailadresse entspricht einem lokalen Account auf der DS. Bei virtuellen Usern hast du genau einen lokalen User über den dann alle Mailuser zugreifen d.h. gegenüber dem System ist es immer derselbe User egal ob du als user@domain oder hans@domain kommst.
Solange du nur wenige User hast, sind lokale User okay. Sobald es aber mehr User werden überwiegt die Flexibilität der virtuellen User. Zudem können sie virtuelle User niemals an der Konsole (ssh) anmelden. Lokale User können das aber wenn du es nicht verbietest. Zudem trennst du mit virtuellen Usern den lokalen Login vom Maillogin ab d.h. wenn man dein Mail-PW knackt kann man das nicht für den Login via ssh benutzen

Gemäss deinem Link für das Training von Spamassassin muss ipkg zwingend installiert sein für die updates, anders ist es nicht möglich? Ich möchte möglichst wenig Dinge verändern, damit ich bei einem Firmwareupdate nicht jeweils tagelang rumfrickeln muss, bis wieder alles läuft...
Zugegben der Link ist schon etwas älter. Eigentlich sollten sa-learn und sa-update mitterweile mit der Firmware ausgeliefert werden. Sollten irgendwo unterhalb von /usr/syno/mailstation/ liegen
Hast du gerade nocht irgendwelche sicherheitsrelevante Einstellungen für die Mail Station, die du dringend empfehlen würdest?

"Sicherheit"? Keine Mails als root empfangen, SMTP-Auth benutzen, verschlüsselte Verbindungen nutzen, Ports für SMTP-Auth und normalen Mailempfang trennen und ggf virtuelle Mailuser ins Auge fassen. Ach ja die Logfiles regelmässig durchgucken und sicherstellen, dass alles vom Mailserver auch geloggt wird. Da der Syno-Logger per default die Meldungen des Mailservers unterdrückt, kann man sich auch einen alternativen Logger installieren resp einrichten z.B. syslog-ng (im wiki haben wir mehr dazu)

 

[swissmaster]

Danke für deine bisherigen Infos jahlives.
Das meiste habe ich verstanden, ich denke mit meinen 3 Usern auf der DS machen virtuelle User noch nicht wirklich Sinn, da dafür ja offenbar auch wieder diverse Einstellungen nötig sind. Ich denke ich versuchs mit Alias.

Das mit dem sa-learn etc. werde ich bei Gelegenheit versuchen.

Was mir noch nicht ganz klar ist, wie stelle ich folgendes sicher:
-Keine Mails als root empfangen
-SMTP-Auth benutzen (du meinst, in der DSM Oberfläche, den Haken setzen, richtig?)
-verschlüsselte Verbindungen nutzen
-Ports trennen (ist das nicht schon standardmässig so? SMTP benutz doch standardmässig einen anderen Port als POP3 oder IMAP?)

 

[jahlives]

-Keine Mails als root empfangen
-SMTP-Auth benutzen (du meinst, in der DSM Oberfläche, den Haken setzen, richtig?)
-verschlüsselte Verbindungen nutzen
-Ports trennen (ist das nicht schon standardmässig so? SMTP benutz doch standardmässig einen anderen Port als POP3 oder IMAP?)

1. dafür kann man einen alias von root auf einen non-root User machen. Das sollte man unbedingt!
2. ja den Hacken belassen
3. im DSM gibt es die Möglichkeit auch für Mail sichere Verbindungen (TLS/SSL) zu nutzen. Wenn du immer nur verschlüsselte Verbindungen nutzt, dann ist es recht unwahrscheinlich, dass man dein PW bei der Übermittlung abfangen kann
4. ich meine die SMTP Ports trennen. Port 25 für Mails von extern an dein System, aber nur für Mails welche Endstation auf deiner DS sind. Alles andere - sogenanntes Relaying - sollte über einen eigenen Port (z.B. 587) gemacht werden. Dann können sich deine User an Port 587 anmelden und Mails auch gegen extern verschicken, während Port 25 nur für den lokalen Mailempfang zuständig ist. Im Wiki haben wir mehr dazu (http://www.synology-wiki.de/index.php/Zusaetzliche_Ports_fuer_Postfix)

 

[swissmaster]

Bei mir zeigen diverse Aliase auf root z.bsp www, postfix, operator, manager, nobody, welche allesamt vordefiniert waren. Muss ich da trotzdem etwas ändern?

Ich kann die Log der Mailstation nicht finden. Diese sollte gemäss Wiki unter /opt/var/log/mail.log oder unter /var/log/messages. Auch dort finde ich weder Meldungen für SMTP noch Meldungen von Imap, was mach ich falsch? Wo ist die Log Datei gespeichert.

Wie kann ich überprüfen ob der Spam-Assassin gerade in den aktiven Prozessen läuft oder nicht und wie aktuell er ist?

Das mit sa-update, hab ich nicht hingekriegt, trotz der installation von ipkg und einigen zusätzlichen Packeten daraus, erscheinen diverse Fehlermeldungen.

 

[swissmaster]

Kann mir niemand helfen?
jahlives hast du mir evtl. nochmals einen Tipp?

 

[jahlives]

1. müssen tust du gar nichts, du kannst auch als root Mail empfangen wenn du dir der Risiken bewusst bist

2. dann wirst du dir einen alternativen Logger installieren müssen z.B. ipkg syslog-ng (haben wir auch im Wiki was dazu)

3. ps | grep spam sollte dir alle Prozesse mit spam im Namen anzeigen

4. leider ist meine Glaskugel im Service und damit habe ich keinen Plan was schief gegangen ist, wenn du nicht die Fehlermeldungen rausrückst

 

[swissmaster]

1. Ja das ist klar, aber sollte ich diese voreingestellten Aliase ändern, damit diese auf einen herkömmlichen User zeigen, wenn ich mir der Risiken eben nicht bewusst bin? Andere Frage, warum sind diese überhaupt so vordefiniert, wenn dies Sicherheitsrisiken birgt?

2. Alles klar, das heisst standardmässig wird für imap, smtp, pop gar nichts geloggt?

4. ist klar, hatte mit Spamassassin eigentlich schon abgeschlossen darum, keine Fehlermeldung. Aber nun neuer Versuch (neues Glück), folgende Fehlermeldung kriege ich beim ausführen von sa-update:
Can't locate Archive/Tar.pm in @INC (@INC contains: /lib/perl5/site_perl/5.8.6 /usr/lib/perl5/5.8.6/X86 /usr/lib/perl5/5.8.6 /usr/lib/perl5/site_perl/5.8.6/X86 /usr/lib/perl5/site_perl/5.8.6 /usr/lib/perl5/site_perl) at ./sa-update line 78.
BEGIN failed--compilation aborted at ./sa-update line 78.

 

[jahlives]

1. lass die aliase wie sie sind und trag nur einen neuen ein root -> auf deinen User dann bekommt dein User alle Mails für root. Auch diejenigen welche bereits via alias auf root gemappt werden
2. scheint so zu sein. Wie gesagt mit ipkg syslog-ng siehst du jede Bewegung des Mailservers
4. zeig mir mal die allererste Zeile deiner sa-update Datei. Die wird wahrscheinlich auf das Perl der Firmware zeigen. Sollte aber auf das ipkg Perl zeigen, weil es nur dafür die weiteren Module gibt

 

[swissmaster]

Danke dir für deine bisherig Hilfe... ;-)

Zu Punkt 4.
Ich habe schon in einem anderen Post gelesen, dass die erste Zeile auf #!/opt/bin/perl -T -w umgestellt werden müsse. Dies habe ich getan, wonach beim Ausführen folgende Meldung erschien:
Segmentation fault (core dumped)

Deshalb habe ich es anschliessend wieder auf:
#!/usr/bin/perl5.8.6 -T -w
umgestellt.

 

[jahlives]

mhm Seg Faults deuten oft darauf hin, dass etwas mit der Plattform ned stimmt. bist du 150% sicher, dass du das passende bootstrap (ipkg) für deine Prozi Architektur installiert hast? Wenn du ein anderes ipkg Paket installierst, funzt das dann?
Das Problem mit dem default Perl ist, dass scheinbar die benötigten Module nicht in der Firmware sind. sa-update setzt bestimmte perl Module voraus. Wobei man sagen muss, dass sa-update immer weniger wichtig wird, weil es immer weniger Server mit Regeln gibt, die man laden könnte. Ich würde daher meine Energie eher auf sa-learn konzentrieren. Dieses Kommando braucht man relativ häufig

 

[swissmaster]

Ich hab die 712+ und hab folgendes installiert:
Für Intel Atom: http://ipkg.nslu2-linux.org/feeds/o...s/unstable/syno-i686-bootstrap_1.2-7_i686.xsh

Meine DS sollte meines Erachtens ja einen Atom drin haben. Via ipkg habe ich nano installiert und dieser funktioniert absolut problemlos.

 

[jahlives]

Meine DS sollte meines Erachtens ja einen Atom drin haben. Via ipkg habe ich nano installiert und dieser funktioniert absolut problemlos.

dann sollte ipkg eigentlich passen. Was hast du denn alles von ipkg für Spamassassin installiert? perl, die Module und auch den Spamassassin selber?

 

[swissmaster]

Ich habe Perl und einige Module installiert, die in den Fehlermeldungen erschienen bei aufruf von sa-update. Genau weiss ich nicht mehr welche. Spamassassin habe ich jedoch nicht installiert.

 

[jahlives]

Probier mal auch den Spamassassin von ipkg zu installieren und verwende dann sa-learn und sa-update aus der ipkg-Installation. Ändert das was?

 

[swissmaster]

Weisst du per zufall grad wie das Paket bei ipkg heisst? Muss danach gar nix konfiguriert werden? Woher weiss das System welchen Spamassassin es verwenden soll (Ipkg oder default)?

 

[jahlives]

ipkg list | grep spamassassin

kann dir helfen wenn du ein bestimmtes Paket bei ipkg suchst. Du wirst aber mit Sicherheit einige Anpassungen machen müssen. Grundsätzlich so: http://www.synology-wiki.de/index.php/Postfix_und_Spamassassin Ist also ein Aufwand