Mail Server IP's fehlerhafter Loginversuche am Mailserver (dovecot) per DSM-Autoblock sperren

[NASe]

Nabend Zusammen,

ich habe gerade mal meine Mail-Logs gecheckt und da ist mir folgendes aufgefallen:

Mar 22 19:34:38 meineDS postfix/smtpd[20763]: connect from unknown[112.65.158.88]
Mar 22 19:34:39 meineDS postfix/smtpd[20763]: lost connection after CONNECT from unknown[112.65.158.88]
Mar 22 19:34:39 meineDS postfix/smtpd[20763]: disconnect from unknown[112.65.158.88]
Mar 22 19:37:59 meineDS postfix/anvil[20765]: statistics: max connection rate 1/60s for (192.168.1.251:smtp:112.65.158.88) at Mar 22 19:34:39
Mar 22 19:37:59 meineDS postfix/anvil[20765]: statistics: max connection count 1 for (192.168.1.251:smtp:112.65.158.88) at Mar 22 19:34:39
Mar 22 19:37:59 meineDS postfix/anvil[20765]: statistics: max cache size 1 at Mar 22 19:34:39
Mar 22 19:42:40 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:42:45 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<abuse>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:42:50 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<mail>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:42:56 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:02 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:07 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<info>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:13 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<service>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:20 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<service>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:25 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<adam>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:33 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<adm>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:39 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:44 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<test1>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:50 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<david>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:43:59 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<david>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:44:04 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<info>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:44:09 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<internet>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:44:16 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<welcome>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:44:26 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<alex>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:44:32 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<alan>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:44:38 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<web>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:44:44 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<lisa>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:44:53 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<sharon>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:45:02 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<office>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:45:07 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<postmaster>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:45:14 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<susan>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:45:22 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<susan>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:45:27 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<michael>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:45:33 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<tester>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:45:39 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<cindy>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:45:45 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<mike>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:45:51 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<sales>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:01 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<web>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:05 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<richard>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:10 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<operator>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:15 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<george>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:22 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:28 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:34 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:40 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<oracle>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:46 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<sunny>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:52 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<webmaster>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:46:58 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<testing>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:47:04 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<testuser>, method=PLAIN, rip=112.65.158.88, lip=192.168.1.251
Mar 22 19:47:08 meineDS dovecot: pop3-login: Disconnected (auth failed, 1 attempts): method=PLAIN, rip=112.65.158.88, lip=192.168.1.251

Da hat doch tatsächlich jemand versucht meinen mühevoll eingerichteten Mailserver mit eigener Domain zu kapern.
Gibt es eine Möglichkeit solche fehlerhaften Loginversuche über den DSM eigenen Autoblock zu sperren? Oder kann ich im dovecot maximal mögliche Logins einer IP festlegen?

Danke,
Alex

 

[jahlives]

Mit dem DSM ned kannst du das afaik ned überwachen. Es gibt andere Logwatch-Software, die auch den dovecot überwachen kann z.B. fail2ban. Allerdings weiss ich ned obs das für die DS auch gibt. Beim dovecot selber dürfte es dafür keine Option geben, mir wäre zumindest keine bekannt.

 

[NASe]

Hallo jahlives,

danke für Deine schnelle Antwort. Ich werde dann mal schauen ob ich im www noch was finde. Ansonsten heißt es damit zu leben.

Alex

PS: Bzgl. ReverseDNS habe ich noch keine weitere Info bekommen. Der Antrag ist laut ISP eingereicht. Sobald ich was habe melde ich mich in meinem Konf-Thread.

 

[jahlives]

habe gerade eben an meiner DS (Firmware 3.2 irgendwas) den fail2ban aus den Quellen installiert bekommen. Und er läuft sogar ;-)

ps | grep fail2ban
 8885 root      9012 S    /opt/bin/python /volume1/@optware/local/bin/fail2ban

einzig das Startscript fehlt und das Config Verzeichnis wird nach /etc/fail2ban installiert. Kann man aber nach /opt/etc/fail2ban verschieben und dann den Startaufruf für fail2ban entsprechend anpassen

/opt/local/bin/fail2ban-client -c /opt/etc/fail2ban -s /var/run/fail2ban.sock start

verwendet habe ich fail2ban 0.8.4 und zusätzlich python3 von ipkg (dürfte aber auch mit einer tieferen python Version funzen, das Manual schreibt >= 2.4)
Also das Paket aus dem Netz laden und entacken

cd /root
wget http://URL_ZUM_FILE
tar -xvzf ./fail2ban-0.8.4.tar.bz2
cd ./fail2ban-0.8.4
/opt/bin/python ./setup.py install

http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Installing_from_sources_on_a_GNU.2FLinux_system

 

[NASe]

Ha, ich habe auch was gefunden. ;-)

http://forum.synology.com/enu/viewtopic.php?f=27&t=42844

Ich habe mir auch die Version runtergeladen und erst mal nach /opt/src entpackt. Aber beim Installationsaufruf bekomme ich einen Fehler.

MailCore> python setup.py install
-ash: python: not found

Aktuell ist bei mir python25 installiert.
Ich schau mir deinen Link auf mal an. ;-)

 

[jahlives]

hast du denn explizit den Pfad zum python Interpreter angegeben? Ich musste den explizit angeben. Sonst auch immer nur ein Fehler

 

[NASe]

Jetzt ja. ;-)
Dazu habe ich mir noch python3 nachinstalliert.

meineDS> /opt/bin/python3 ./setup.py install
  File "./setup.py", line 111
    print "Obsolete files from previous Fail2Ban versions were found on " \
                                                                        ^
SyntaxError: invalid syntax

Ist dieser Fehler bei dir aufgetreten?

 

[jahlives]

nö den habe ich ned gehabt. Welche fail2ban Version hast du denn genommen?

 

[NASe]

Die selbe wie du. fail2ban-0.8.4.
Ich habe mir die Linuxversion nur bei heise.de runtergeladen, auf die DS kopiert und entpackt.

 

[jahlives]

wie schaut denn dein md5 aus? Bei mir

md5deep /root/fail2ban-0.8.4.tar.bz2
df94335a5d12b4750869e5fe350073fa  /root/fail2ban-0.8.4.tar.bz2

habe das File direkt von der Projektseite bei sourceforge

 

[NASe]

Ganz offensichtlich gibt es da Unterschiede.

3609a81de57037a5eec27dfe85030cc4  /volume1/home1/fail2ban-0.8.4.tar

Ich werd mir das File auch noch mal von der Projektseite laden.

 

[NASe]

Ich hab's mir gerade noch mal bei sourceforge geladen. Das *.bz2 Files hat denselben Wert wie deines.
Also anschließend entpackt und wieder die Installation ausgeführt:

meineDS> /opt/bin/python3 ./setup.py install
  File "./setup.py", line 111
    print "Obsolete files from previous Fail2Ban versions were found on " \
                                                                        ^
SyntaxError: invalid syntax

Das ist mir unlogisch. Liegt es vielleicht an meinem Quellpfad? Du hast es ja aus /root installiert.
Oder muss noch eine spezielle Gruppe angelegt werden? Sämtliche entpackten Files haben owner/grp 1000:1000

 

[jahlives]

Das ist mir unlogisch. Liegt es vielleicht an meinem Quellpfad? Du hast es ja aus /root installiert.

probiers mal mit /root und entpack das tar.bz2 File dort. Wobei eigentlich dein anderer Pfad keinen Synthaxfehler auslösen sollte.

 

[NASe]

Hab ich mittlerweile probiert aber mit demselben negativen Ergebnis. Ebenso habe ich allen Files Benutzer und Gruppe root verpasst.
Hat aber auch nichts gebracht.
Es hat aber den Anschein als würde das Script nicht korrekt interpretiert. Muss ich vielleicht nach der python3-Installation noch etwas umstellen/aktivieren/kompilieren?
Ich kann in dem Installationsscript aber auch keinen Fehler sehen. Jedenfalls springt er mir nicht ins Auge. ;-)
Die Prozedur obsoleteFiles prüft ja nur ob schon Ordner/Dateien von fail2ban vorhanden sind. Da gibt es aber auch noch nix

 

[jahlives]

ich hab nur python installiert, den Code nach /root geladen und entpackt. Dann ist die Installation durchgelaufen. Hast du mal geguckt ob eventuell doch noch irgendwelche Teile von fail2ban, ausserhalb von /root z.B. in /usr/share/fail2ban/ vorhanden sind? Und wie schaut der md5 von setup.py aus bei dir?

md5deep /root/fail2ban-0.8.4/setup.py
1ffe89bf8247471528f4ec6871bfd931  /root/fail2ban-0.8.4/setup.py

 

[NASe]

Moin,

ich habe mir das Paket noch mal per wget von sourceforge nach /root abgeholt. md5 ist identisch mit deinem. Da ich bei "tar -xvzf" einen gzip-Fehler bekomme entpacke ich das File
erst mit "bzip2 -d" und anschließend weiter mit "tar xvf".

meineDS> md5deep /root/fail2ban-0.8.4/setup.py
1ffe89bf8247471528f4ec6871bfd931  /root/fail2ban-0.8.4/setup.py

Ist also auch identisch mit deinem. Beim install-Aufruf erhalte ich aber nach wie vor den Syntaxfehler.
Das ist alles zu Python installiert:

python25 - 2.5.6-1 -
python3 - 3.2.2-1 - Python is an interpreted, interactive, object-oriented programming language.

Ich habe übrigens auch noch das gefunden:
http://mattrude.com/projects/roundcube-fail2ban-plugin/

Voraussetzung ist natürlich das fail2ban bei der Installation nicht zickt. ;-)

Alex

 

[jahlives]

ich habe gerade bei mir noch gesehen, dass ich sowohl python3 als auch 2.5.6 installiert habe. Wie es scheint wurde die Installation von fail2ban mit python 2.5.6 und nicht mit dem dreier gemacht

$(which python) --version
Python 2.5.6

 

[NASe]

Jupp, das war's. Hab es gerade installiert über python2.5. Lief anstandslos durch. Jetzt schau ich mir mal die Konfig an.

 

[jahlives]

top dann wissen wir jetzt vorans gelegen hat. Kein python3 nutzen Ich verwende bei fail2ban folgenden regulären Ausdruck zum Schutz des dovecots

[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Disconnected|Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*
ignoreregex = imap-login: Disconnected.*\(no auth attempts\).*

 

[NASe]

Och menno, es könnte doch einfach mal was gleich funktionieren.

Ich habe deinen Eintrag mal in meine fail2ban.conf übernommen und dann den fail2ban-client gestartet bzw. versucht zu starten.

meineDS> /opt/local/bin/fail2ban-client -c /opt/etc/fail2ban -s /var/run/fail2ban/fail2ban.sock start
WARNING 'action' not defined in 'php-url-fopen'. Using default value
WARNING 'action' not defined in 'lighttpd-fastcgi'. Using default value
2012-03-24 15:36:27,351 fail2ban.server : INFO   Starting Fail2ban v0.8.4
2012-03-24 15:36:27,354 fail2ban.server : INFO   Starting in daemon mode
ERROR  Could not start server. Maybe an old socket file is still present. Try to remove /var/run/fail2ban/fail2ban.sock. If you used fail2ban-client to start the server, adding the -x option will do it

Auch wenn ich die .sock Datei lösche, wie in der Meldung angegeben und anschließend den Befehl erneut ausführe kommt dieselbe Meldung.
Nachdem löschen der Datei habe ich noch mal auf der DS gesucht ob es noch irgendwo so eine Datei gibt. Aber nix. Die wird ja nur beim starten neu angelegt

Man müsste in einem Start/Stopscript auf jeden Fall das Löschen der Datei mit einbauen.