Mail Server Hack Versuch über smtp auf den Mailserver

Status
Für weitere Antworten geschlossen.

Cavekeeper

Benutzer
Mitglied seit
08. Okt 2008
Beiträge
136
Punkte für Reaktionen
6
Punkte
18
Hallo Experten,

ich habe mir mal rein zufällig das Log der Syno angeschaut und haben massenweise Einträge gefunden:

postfix/smtpd[6635]: warning: unknown[89.120.218.233]: SASL LOGIN authentication failed: authentication failure

Diese Einträge wurden in Sekunden-Takt geloggt.
Da ich den smtp-Port im Router zur Syno durchgeschliffen habe, gehe ich hier mal von einen Hack Versuch aus. Zumal die IP von einem Server aus Romania stammt.
Einen Einbruch Versuch konnte ich bislang nicht feststellen.
Präventiv habe ich natürlich erst einmal alle Ports im Router geschlossen.
Somit habe ich mich natürlich erst einmal selber ausgeschlossen - keine Mails mehr auf dem Smartphone.
Offensichtlich gilt die Firewall Blockade der Syno nicht für den smtp Port - schade.

Hat hier jemand einen Tipp, wie ich sicher von außen auf den smtp Server meine Mails aufrufen kann?
Das sicherste ist wohl immer, alle Ports zuzumachen. Nur dann sperr' ich mich ja selber aus.
 

Lontro

Benutzer
Mitglied seit
11. Sep 2012
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Diese Angriffe sind normaler Alltag und werden von Scriptrobotern durchgeführt die alle bekannten Serviceports abscannen und bei Verbindungsmöglichkeit versuchen mit Standardpasswörtern sich anzumelden.

Der einfachste Weg diese Angriffe zu mildern ist jedoch simpel.
Auf der Routerfirewall die den Port 25 zur Synology auf Port 25 umleitet einfach einen hohen Port für aussen verwenden, z.B:

Extern: Port 23425 auf interne Synology Adresse Port 25.

Gleiches kann man auch für die Ports von POP3 und IMAP durchführen. Auf dem Smartphone diese Ports für SMTP und POP3/IMAP Server verwenden.

Somit müsste ein Hackerscript alle 65000 möglichen Ports auf eine Verbindung prüfen. Alleine aus Zeit- und Ressourcengründen macht das aber keiner.

Einen Nachteil hat die Konfiguration jedoch. Andere Emailserver versenden immer in Richtung Port 25. Sie können nicht wissen das der Port auf 23425 zu finden ist. Aber wenn man als alleiniger Benutzer den SMTP verwendet um von dort aus Emails zu versenden ist es kein Problem.
 

Cavekeeper

Benutzer
Mitglied seit
08. Okt 2008
Beiträge
136
Punkte für Reaktionen
6
Punkte
18
vielen Dank für den Tipp.
Hört sich simpel an - werde ich direkt mal umsetzen.

Was bleibt, ist ein ungutes Gefühl, dass Angriffe weiterhin möglich wären.
Sauberer wäre es, wenn die Syno die IP´s gleich direkt nach dem 3. Fehlversuch blockt.
Oder, mir eine Mail zukommen läßt, dass im Mailserver entsprechende Logeinträge vorhanden sind.
Hätte ich die Logs nicht zufällig durchsucht, hätte ich es womöglich nicht gemerkt, oder erst wenn der Eindringling Schaden anrichtet.

Der Syslog Server, der auch die Logs der Syno bekommt, hat jedenfalls nichts dergleichen mitbekommen.
 

der-krueger

Benutzer
Mitglied seit
13. Apr 2010
Beiträge
25
Punkte für Reaktionen
0
Punkte
0
Hast Du im Control Panel den Auto Block aktiviert? Der müsste das eigentlich zuverlässig unterbinden.

Bei mir hat auch ein Domain Provider Wechsel geholfen, seid dem hab ich keine unbekannten Einlogversuche mehr.
 

Cavekeeper

Benutzer
Mitglied seit
08. Okt 2008
Beiträge
136
Punkte für Reaktionen
6
Punkte
18
Ja, Auto Block ist aktiviert. Funktioniert auch für die "normalen" Web-Seiten. Allerdings wohl nicht für den smtp Port. Sonst hätte es geblockt werden müssen.
 

Lontro

Benutzer
Mitglied seit
11. Sep 2012
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
vielen Dank für den Tipp.
Hört sich simpel an - werde ich direkt mal umsetzen.

Was bleibt, ist ein ungutes Gefühl, dass Angriffe weiterhin möglich wären.
Sauberer wäre es, wenn die Syno die IP´s gleich direkt nach dem 3. Fehlversuch blockt.

Ein gutes Passwort und die Nutzung von TLS sind eigentlich schon Absicherung genug. Solange keine einfachen Wörterbuchpasswörter verwendet werden kann sich doch das Script-Kiddie die Zähne ausbeissen lassen.
 
Zuletzt bearbeitet:

borg2k

Benutzer
Mitglied seit
08. Mai 2012
Beiträge
1.789
Punkte für Reaktionen
0
Punkte
0
Der einfachste Weg diese Angriffe zu mildern ist jedoch simpel.
Auf der Routerfirewall die den Port 25 zur Synology auf Port 25 umleitet einfach einen hohen Port für aussen verwenden, z.B:

Extern: Port 23425 auf interne Synology Adresse Port 25.

Die Methode kann man u.a. auch für FTP benutzen, so mach ich es zumindest bei mir.
 

Cavekeeper

Benutzer
Mitglied seit
08. Okt 2008
Beiträge
136
Punkte für Reaktionen
6
Punkte
18
Welche Range an Ports steht denn da überhaupt zur Verfügung, von bis?
Irgendwo muss da ja Feierabend sein, 50000, 60000.....
 

Ap0phis

Benutzer
Mitglied seit
16. Dez 2010
Beiträge
6.731
Punkte für Reaktionen
3
Punkte
158
256*256 = 65536

Die höchst mögliche Port-Nr. ist also 65535.
 

stargate2k

Benutzer
Mitglied seit
13. Mrz 2012
Beiträge
299
Punkte für Reaktionen
0
Punkte
0
Hi,

dass sollte man vll an Synology melden wenn es die Anfragen am SMTP Port nicht sperrt wenn Autoblock an ist.

mfg stargate
 

Cavekeeper

Benutzer
Mitglied seit
08. Okt 2008
Beiträge
136
Punkte für Reaktionen
6
Punkte
18
das habe ich gerade mal getestet. Der Autoblock funktioniert definitiv auch für das Roundcube Webmail nicht.
Offensichtlich liegt es daran, dass es sich hier um eine App handelt, die nicht direkt an die Firewall der DSM gekoppelt ist.
Ergo, hier sind sichere Passwörter gefragt.
 

h1bast

Gesperrt
Mitglied seit
10. Jan 2011
Beiträge
279
Punkte für Reaktionen
1
Punkte
0
Was bleibt, ist ein ungutes Gefühl, dass Angriffe weiterhin möglich wären.
Sauberer wäre es, wenn die Syno die IP´s gleich direkt nach dem 3. Fehlversuch blockt.
Oder, mir eine Mail zukommen läßt, dass im Mailserver entsprechende Logeinträge vorhanden sind.
Hätte ich die Logs nicht zufällig durchsucht, hätte ich es womöglich nicht gemerkt, oder erst wenn der Eindringling Schaden anrichtet.

Für so etwas kann man sich Fail2Ban installieren, das macht genau das was du dir wünscht.

h1
 

Lontro

Benutzer
Mitglied seit
11. Sep 2012
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Ja, Fail2Ban kann die Firewall entsprechend nach Logeinträgen sperren.
Dafür muss Python installiert werden, vielleicht funktioniert auch das Debian Paket auf der DS.

Die Regex in der Konfiguration muss dann so aussehen:

failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:) [A-Za-z0-9+/]*={0,2})?$
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat