Heute Morgen: SSH Angriff aus NewYork (Fairfield US) General Electronic Company

[Synchrotron]

Dass man sich für den Mailserver interessiert, dürfte daran liegen, dass sich mit dem Versand von Spam offenbar immer noch viel Geld verdienen lässt. Wenn man den MS auf einer Syno kapert, kann man von einer unverdächtigen IP aus das Internet weiter fluten.

Wenn sich das Reinhacken offenbar lohnt, ist es ein Hinweis darauf, dass viele Synos relativ offen im Internet stehen und solchen Typen „gerne“ zu Diensten sind. Soll sich keiner wundern, wenn morgens mal die Kripo klingelt ...

 

[Puppetmaster]

Meinst du nicht, dass es einem auffallen wird, wenn das Postfach gekapert wird?!

Und wundern würde es mich schon, wenn man plötzlich deswegen Besuch bekäme. Mir ist bisher kein solcher Fall zu Ohren gekommen, ganz im Gegensatz z.B. von Fällen, wo der Besuch kam aufgrund nicht rechtlich gesicherter Down- bzw. Uploads die von der heimischen IP kamen.

 

[SAMU]

Ob es auffällt wenn die Mailbox gekapert wird? Ja, aber erst nach X Stunden. Wenn du gerade schläfst oder arbeitest oder sonst wie beschäftigt bist schaust du ja nicht ins Postfach.

Meiner Oma (nix Synology sondern ein normaler Anbieter) ist auch erst aufgefallen dass da was nicht stimmt nachdem mehrere Freunde angerufen haben und gefragt haben warum sie komische E-Mails mit irgendwelchen Dokumenten verschickt. Blöd war halt dass die meisten dieser Leute diese Dokumente auch noch aufgemacht hat. Den Rest könnt ihr euch denken.

Wegen der Ports:
80 nur wegen LetsEncrypt. Dann 443 wegen den ganzen Website-basierten Diensten von Synology. Dann ein paar >8000er Ports für ein paar "Feldgeräte" die dann da drüber laufen, nochmal ein Port für OpenVPN (läuft nicht auf der Diskstation), dann Ports für den Mailserver (IMAP, SMTP), Ports für WebDAV, Ein Port für Cloudstation (die will ein eigener Port) usw.... Macht gesamt 15 offene Ports.

In dem Mehrfamilienhaus in dem ich wohne gibt es ein zentraler Router (FritzBox) an der alle direkt dranhängen. Da ich mein privates Netz nicht öffentlich mit allen anderen Wohnungen teilen will und deren smarte Lampen oder so potentieller Zugriff auf die Diskstation bekommen oder die anderen sehe sehen wann ich meinen Chromecast nutze, habe ich den Synology-Router dazwischen. In der Fritzbox ist mein Router komplett freigegeben(DMZ) und im Synology-Router regele ich dann die Freigaben selbst.

 

[framp]

...Und wundern würde es mich schon, wenn man plötzlich deswegen Besuch bekäme...

Wenn ueber Deinen eMailServer DroheMails verschickt werden oder sonstiger straeffaelliger Inhalt bekommst Du definitiv Besuch

 

[Puppetmaster]

Schon klar. Das "deswegen" bezog sich hier auf die Wahrscheinlichkeit, nicht auf die Schwere. Wieviele Fälle kennst du (persönlich), wo private Mailserver gekapert wurden und daraus unangenehme rechtliche Konsequenzen erfolgt sind?

 

[King3R]

@SAMU
Das ist natürlich nochmal eine ganz andere Konstellation. Ich würde das dann natürlich genauso handhaben. Mich interessiert, warum manche VPN oder den Reverse Proxy nutzen und andere die Ports direkt im Router freigeben. Meiner Meinung nach lernt man nie aus. Die Sichtweise anderer Benutzer kann einen selber ja auch wieder voranbringen. Natürlich muss jeder für sich entscheiden, was er verwendet. Manchen ist die Benutzerfreundlichkeit lieber, anderen die Sicherheit ...

Ich persönlich würde jetzt vom Angriffspotenzial die drei so einstufen (sicher > unsicher):

1. VPN
2. Reverse Proxy
3. offene Ports im Router

 

[SAMU]

@King3R

zu Reverse proxy kann ich jetzt nichts sagen. Da habe ich keine Ahnung davon.

VPN ist sicherlich sicherer, allerdings könne meine Feldgeräte kein VPN und mit dem Mailserver wird das auch schwierig. Also hätte ich da schon Mischbetrieb.
Da ich aufjedenfall Zugriff von außen auf die Diskstation will (Moments am Handy, E-Mail, Drive, Keepass-Datenbank, Sicherungen vom Handy per WebDAV etc) müsste ich überall dauernd VPN aktiv haben.
Am Handy --> erhöhter Stromverbrauch
Wenn ich an einem Fremd-Pc bin --> da kann ich nicht erst was installieren
und wenn ich einen Link zu einem Foto oder so teilen will brauche ich ja auch die entsprechenden offenen Ports.

Also kann ich auch gleich alles über die offenen Ports machen, gute Passwörter verwenden und hoffen dass nicht plötzlich eine riesen Sicherheitslücke irgendwo entdeckt wird. VPN gibts trotzdem um z.B. mal schnell was am Router schauen zu können oder für Sachen die halt noch keinen offenen Port haben oder wenn ich SMB nutzen will am Laptop (was selten vor kommt)

 

[framp]

... Wieviele Fälle kennst du (persönlich), wo private Mailserver gekapert wurden und daraus unangenehme rechtliche Konsequenzen erfolgt sind?...

Keine. Da habe ich Dich offensichtlich falsch verstanden

 

[Synchrotron]

Seit die Mails nicht nur SPAM enthalten, sondern bösartige Links bis hin zu Emotet-Installern ist das garnicht so weit her geholt. Schließlich kann man bei einer auslösenden E-Mail nachvollziehen, von welcher IP sie gesendet wurde. Und deutsche IPs helfen schon mal dabei, bestimmte Filter zu unterlaufen, die nach so etwas scannen. Meines Wissens steht es schon unter Strafe, eine IT-Einrichtung wie einen Mailserver ins Internet zu öffnen, und nicht ordentlich abzusichern. Selbst wenn die Syno nur sicher gestellt und Wochen später mit einem "Sorry, war wohl nix" wieder zurück kommt, ist das Ärger genug.

Aber egal - wenn die Syno richtig eingestellt ist, die Updates aktuell eingespielt sind etc. ist das kein "weiches" Ziel, das man mit einem simplen Portscan und ein paar Passwortversuchen aushebelt. Nachdem "123456" und "Passwort" (man beachte die Verwendung eines Großbuchstabens, die Verwendung einer anderen Sprache als Englisch und volle 8 Zeichen Länge - passt doch alles ...) immer noch beliebte digitale Schlüssel sind, zieht die Karawane halt weiter, bis sie irgendwo ein Loch findet.

Warum soll man funktionierende Sicherheitseinstellungen über Bord werfen, nur weil jemand an der Tür gerüttelt hat. Wer sagt, dass die neuen besser sind ? In einem hektischen, von wohl gemeinten Foren-Ratschlägen begleiteten Redesign ist der Keim für ein Desaster schon gelegt.

Grundsätzlich halte ich persönlich für "normale" private Nutzer einen externen Zugriff über VPN als den am Besten einzurichtenden, weil man dabei eher wenig verbaseln kann.

 

[NSFH]

Diese Beispiele kenne ich aber. In einem Fall wurde der Mailserver einer Schule kompromitiert. Von dem Server wurden dann an alle gespeicherten Adressen Mails mit echtem Absender, täuschend echtem Text und verseuchtem Dateianhang weiter versendet.
Das war übrigens Emotet. In einem anderen Fall eine Qnap (wobei das letztendlich egal ist welcher Server dahinter stand) einer Privatperson. Hier wurde der Mailaccount zum Versenden von SPAM Mails missbraucht. Letztendlich Schuld war daran eines der Notebooks welches kompromitiert war. Aufgefalllen ist es sogar nur, weil auf einmal die Domain in der Blackliste von SPAM Servern aufgetaucht ist und Mails nicht mehr zugestellt wurden.
In einem LAN muss also nur ein faules Ei sein um Schaden anzurichten.
Im übrigen verstehe ich den Sinn eines eigenen Mailservers nicht wirklich. Diesen sicher zu halten ist dermassen zeitaufwändig und erfordert auch wirklich knowhow, was ich in diesem Umfang den normalanwender einer Syno nicht zutraue. Warum nicht die Mails beim Provider auflaufen lassen und von dort auf den eigenen Mailserver weiterleiten lassen? Das dürfte erheblich sicherer sein.

 

[framp]

...Im übrigen verstehe ich den Sinn eines eigenen Mailservers nicht wirklich. Diesen sicher zu halten ist dermassen zeitaufwändig und erfordert auch wirklich knowhow, was ich in diesem Umfang den normalanwender einer Syno nicht zutraue. Warum nicht die Mails beim Provider auflaufen lassen und von dort auf den eigenen Mailserver weiterleiten lassen? Das dürfte erheblich sicherer sein...

Full ACK

 

[Puppetmaster]

Dir ist aber schon aufgefallen, dass im vorletzten Satz zweimal das Wort "Mailserver" auftaucht? ;-)

 

[synfor]

Im übrigen verstehe ich den Sinn eines eigenen Mailservers nicht wirklich. Diesen sicher zu halten ist dermassen zeitaufwändig und erfordert auch wirklich knowhow, was ich in diesem Umfang den normalanwender einer Syno nicht zutraue. Warum nicht die Mails beim Provider auflaufen lassen und von dort auf den eigenen Mailserver weiterleiten lassen? Das dürfte erheblich sicherer sein.

Äh, damit der Provider ein Weiterleitungsziel hat, muss man doch noch immer einen eigenen von außen erreichbaren SMTP-Server betreiben.

 

[NSFH]

sicher aber der steht hinter dem eigentlichen Mailserver des Providers. Damit sind die Mails schon mal durch den Provider gefiltert.
Man könnte den Mailclient so einstellen, dass er die IMAP von der Syno bekommt aber smtp direkt mit dem externen Mailhoster macht.

 

[synfor]

Problem: Für die Domain des Weiterleitungsziel (die man da zusätzlich braucht) funktioniert die Vorfilterung durch den Provider nicht und man betreibt immer noch einen möglicherweise falsch konfigurierten SMTP-Server.

 

[SAMU]

Eben, wenn ich die E-Mails vom Provider weiterleiten will, brauche ich ja auch wieder einen öffentlichen MailServer der die Mails Empfängt.
Dann kann ich den Provider ja auch gleich außen vor lassen und direkt alles an mich schicken. Dann ist auch schonmal die Fehlerquelle "Provider" ausgeschlossen. Und was soll der Provider denn für mich vorfiltern? SPAM-Mails? Das kann ich auch selber machen im NAS und birgt außerdem das Risiko dass der Provider Mails raussortiert die eigentlich gar kein SPAM sind.

Nichtsdestotrotz ist der Provider bei mir auch eingespannt, und zwar als Backup-Server falls ich mal offline sein sollte (Stromausfall oder solche Sachen)