MailPlus Server Ständige Loginversuche von verschiedenen IP´s

[usekevin]

Hallo Gemeinde.

Ich habe seit ein paar Wochen das Problem, dass verschiedene IP´s sich versuchen zugriff auf meine Email zu Verbinden.

Mein Log von Heute nacht sieht wie folgt aus: (und das sind noch wenig Versuche. Habe teilweise über nacht viel, VIEL mehr im Log stehen)



Ich habe mittlerweile Manuell mehr als 1000 IP´s gesperrt, langsam komme ich aber nicht mehr hinterher, vorallem wenn die IP sich bei jedem Versuch komplett Ändert.

Hat jemand eine Idee was ich dagegen tun kann? Gibt es ne möglichkeit die IP zu Sperren wenn zB ein falscher - nicht vorhandener - nutzername genutzt wird?
Ich nutze den MailPlus Server lediglich Privat, und auch wenn ich mal mein Passwort vergesse, meinen Nutzernamen ssicherlich nicht

Danke euch schonmal.

 

[Mahoessen]

Hi, da dein Mailserver öffentlich erreichbar ist, ist das normal. Abhilfe erreichst du nur mit z.B. autoblocking und geoblocking.

 

[Philipp06]

Moin,
wie @Mahoessen sagte: GeoBlocking ist dein Stichwort.

Hast du deine Firewall entsprechend konfiguriert?

Grüße

 

[ComputerNope]

Mit einem eigenen Mail-Server ist das immer so eine Sache. Ich habe Geoblocking auch eingestellt gehabt, aber wenn nur Deutschland zugelassen ist, werden z.B. keine ankommenden Mails von Gmail angekommen, dazu muss USA freigegeben werden.
Nachdem um mich herum immer mehr Angriffe auf die IT berichtet wurden, habe ich beschlossen, auch auf den eigenen Mail-Server zu verzichten. Mir ist einfach die Gefahr zu groß, die gesammelten Daten der letzten 20 Jahre zu verlieren. Daher wurden Kontakte, Kalender und Mail ausgelagert auf einen Anbieter wie Microsoft, Google, Apple und die anderen Daten liegen nicht von außen erreichbar auf der Synology, nur per VPN.
Weniger Komfort, aber vielleicht sicherer.

 

[Kachelkaiser]

Daher wurden Kontakte, Kalender und Mail ausgelagert

Mails auslagern kann ich nachvollziehen, aber warum auch Kalender und Kontakte?

 

[ComputerNope]

Einfach damit keine Ports offen sind.
Ich habe mit mehreren Geräten versucht, nur im WLAN Kontakte und Kalender zu synchronisieren. Es kam immer wieder dazu, dass Termine nicht synchronisiert wurden oder auch Kontakte nicht auf dem letzten Stand waren.
Wäre ich alleine, würde ich mich da "reinfummeln". Die restlichen Familienmitglieder wollen einfach eine funktionierende Lösung und nicht, das der "Vatter" wieder an allen Endgeräten fummelt um mal wieder was einzustellen und zu testen.

 

[peterhoffmann]

Wer einen Mailserver betreibt, muss damit (zum Teil) leben. Das ist das typische Rauschen.

Lass' sie doch graben, man sieht ja auch, dass es keine zielgerichteten Versuche sind, sondern man einfach nur einen Zufallstreffer sucht. Solange der Username individuell ist, sowie das Passwort sicher, wird da niemand "treffen".

 

[Kachelkaiser]

Es kam immer wieder dazu, dass Termine nicht synchronisiert wurden oder auch Kontakte nicht auf dem letzten Stand waren.

Termine werden bei uns auch nur im LAN gesynct. Funktioniert bisher ganz gut und der WAF ist dafür auch sehr hoch ;-)

Kontakte hat eh jeder für sich ein Adressbuch, da ist es nicht so schlimm wenn der Sync mal ein paar Tage nicht erfolgt.

Zur Not den Kalender über Reverse Proxy und Port 443 nach extern freigeben.

 

[ComputerNope]

Zur Not den Kalender über Reverse Proxy und Port 443 nach extern freigeben.

Hatte ich alles.
Aber ich komme aus dem Raum Duisburg, da wurden in Kürze sowohl die Uni als auch thyssenkrupp angegriffen.
Da denke ich mir, da sollten Experten sitzen, die das besser können als ich. Und wenn man da rein kommt, ist es vielleicht nur eine Frage der Zeit, bis es auch bei meiner Synology klappt. Ich habe ja nur gefährliches Halbwissen. So wichtig ist es auch nicht, dass ich immer alles unterwegs dabei habe.

Aber jeder so wie er mag.

 

[Kachelkaiser]

Wobei ich glaube, dass deine Synology kein Ziel für diese Hacker ist und deshlab die Gefahr eines Angriffs eher gering ist ;-)

Aber jeder so wie er mag

Jupp genau!

 

[heavy]

Ich würde aber schon behaupten dass du auf einer Liste gelandet bist, denn was man in deinem Screenshot sehen kann ist dass einige ja von den selben IPs mit dem selben Nutzer Name sind, nur einen Tag später. Ich hatte in meinen 10 Jahren nur 2 solche Angriffe die ich dadurch "abwehren" konnte dass ich einfach die Internetverbindung zurückgesetzt habe und damit eine neue IP bekam. Was dann auch dafür spricht dass keine meiner Domains sondern rein meine IP als "Ziel" genommen wurde, sprich meine Domains sind nicht bekannt und auf irgendwelchen Listen.

 

[Thorfinn]

ein eigener Mailserver. Das ist ein Briefkasten vor der Haustür.
Er muss halt von aussen erreichbar sein, damit du deine Post bekommst. Nun fummelt da da jemand am Schloss rum.
Ist so, Mailserver bedarf viel Pflege.

• Geoblocking (am bessten auf dem Router) kann man machen. Ist aber wenig effektiv. Die Bots die bei dir anklopfen sitzen überall (du kannst ja mal ein "who is" nach den IP adressen machen). Ausserdem bekommst du dann aus den Regionen keine Post.
• Sperrzeit nach xy fehlerhaften log in Versuchen: kann man machen. Nützt wenig. Die Anklopfer wechseln ihre IPs schneller als du Unterwäsche. Man kann sich so auch selber aussperren.

Ich habe Jahrzehnte eigene Mailserver betrieben, angefangen mit OS/2 und auch auf Synology DSM. In den 90ern war das noch was. Dann kam die Spamtsunamis und Windows95 mailware. Es wurde mühsam.
Naiv wie ich war und Anfang der 00er Glasfaser bekam, habe ich einen ftp auf einem 68k Mac eingerichtet, Das Ding machte nach 2h schlapp vor lauter "failure to log in".
Sorry ich bin alt. Für privat in meiner Freizeit ist das zu viel Pflege. Ich zahl da lieber 16 €/a an den Hoster, der die Server pflegt und 24/7/365 überwacht.

 

[steje43]

Ich nutze auch den Mailserver von Synology seit der DS213+ und einer festen IP von Vodafone. Richtig zufrieden war ich nicht. Ausfall Internet, dann gab es keine E-Mails. Spam gab es auch. Deshalb habe ich vor dem Mailserver noch einen Proxmox Mail Gateway gesetzt. Nun habe ich einen Root Server gemietet und setzte auf Mailcow. Läuft einwandfrei....

 

[meister0815]

welcher Anbieter wird für das GEO Blocking den eigentlich aktuell von Synology bzw. den Synology NAS und deren Firewall genutzt?

ich hatte heute eine IP aus Chile, obwohl ich in der NAS Firewall nur Deutschland und Schweiz erlaubt habe, komisch. Ansonsten kommt nur selten ein Bruteforceattacke bei mir an.

 

[Mahoessen]

komisch

nö, die Geodaten sind nur so gut wie die DB, die dahinter steht, und Fehler gibt es in allen Datenbanken.
auch können die IPs ver/gefälscht werden.
Oder nicht in der DB sein "GeoIP nachschlagen fehlgeschlagen", kommt immer wieder vor....

 

[Thomassino]

Moin,
ich bin neu hier, habe dieses Problem aber pragmatisch (für mich) gelöst.
GeoBlocking kam für mich nicht in Frage, aber wenn schon jemand versucht sich am Mail Server anzumelden, dann bitte mit korrekten Credentials .
Also: -> Systemsteuerung -> Sicherheit -> Schutz


Die Werte kann sich ja jeder selber aussuchen.
Dazu habe ich noch die automatische Benachrichtigung angeschaltet und den Verfall der Blockierung ausgeschaltet -> und zack! Innerhalb von einer Woche sind 600 Adressen permanent blockiert und im Logfile ist Ruhe. Da meine Useranzahl übersichtlich ist, ist die Freigabe bei einer Fehleingabe des Passworts kein Problem.
Zur Sicherheit kann ja das lokale Netz / LAN im selben Tab unter der Freigabe-/Blockierungsliste eingetragen werden. Hier darauf achten, dass sowohl das IPv4, als auch IPv6 Netz eingetragen wird.

Gruß Thomassino

 

[Mahoessen]

@Thomassino :
du solltest noch weiter begrenzen, 600/Woche ist zu viel, bei mir klopfen 3-4 pro Woche an.
Abhilfe sollte hier die auto. Blockierungsliste bringen (auto. Aktualisierung)=> SuFu
bzgl. geoBlocking: du bekommst wirklich viele Mails aus China & Co. ?

 

[Thomassino]

@Mahoessen,
Ich glaube, ich habe mich da unglücklich ausgedrückt.
1. Die 600 Login-Versuche waren in der ersten Woche.
2. jetzt kommen ca. zwei bis drei an einem Tag dazu.
3. ich bekomme keine Mails aus China & Co. Das sind die Login Versuche, die lustigerweise teilweise mit einem uralten Username von Facebook kommen. Da ich schon Jahre nicht mehr auf FB bin und ich das Passwort auch nicht mehr benutze, juckt mich das nicht.

Gruß Thomassino

 

[Dasuku]

Die Sache ist doch relativ einfach.
Setzt einfach "smtpd_sasl_auth_enable = no" und schon kann man sich nicht mehr auf Port 25 einloggen.
Zum Senden von Emails nutzt man eh 587.

GeoBlocking auf Port 25 macht man nicht!
Wie bereits richtig erkannt, kann es Mail-Provider geben welche weltweit redundante Server haben.
(Google, Microsoft und Apfel sind da nur die bekanntesten. Ich erhalte auch legitime Mails aus den Niederlanden wenn ich Ebay-Kleinanzeigen nutze. Aber gerade Firmen die DDOS-Präventionen haben, zB Cloudflare, haben meist ausländische IPs.)

Geoblocking kann man aber gut auf 587 einrichten und zB nur Deutschland erlauben.
Das richtet dann auch keinen Schaden bei ankommenden Emails an.

Ich habe mittlerweile auch kein 993 und 587 Port mehr öffentlich zugänglich.
Sondern nutze die MailPlus-Client-App (Handy und Webseite) die 5001 "nur" auf einer speziellen Subdomain verbindet.
Da ist dann sogar 2-Faktor möglich, was auf 25/587 leider nicht geht.

Für Outlook kann man netzintern 587 auf der Syno freischalten, aber halt nicht am Router für extern.
(Sollte der Fall mal wirklich vorkommen, rentiert sich ein VPN als sicherere Variante.)


Früher habe ich auch 10-30 Login-Versuche pro Tag auf dem Email-Server oder dem DSM erhalten.
Nach über 1000 gesperrten IPs habe ich nach effektiven Alternativen gesucht.
Mittlerweile sind es nur noch 1-4 Spam-Versuche pro Tag. Sonst ist endlich komplett Ruhe.

 

[awmst4]

Hallo zusammen,
auch wenn das hier etwas älter ist, ist es dennoch aktuell und evtl. hilft es dem ein oder anderen:
Einen Mailserver zuhause mit einem normalen Router ala Fritzbox würde ich nicht empfehlen. hier bekommt man dieses "ständige graben" wie es hier genannt wurde. Ports bei Home-Routern sind dann einfach offen, immer, für jeden...
Hat man einen Router der automatisierte Blocklisten oder IDS / IPS unterstützt, sieht die Sache schon entspannter aus. Dann sind die Ports nicht für jeden offen.

Getestet hatte ich Unifi UDM pro:
mit der 1.x Firmware kam noch relativ viel durch. Ja, ist nicht zielgerichtet, toll ist es trotzdem nicht.

Router geändert auf OPNsense 22.x / 23.x:
mit entsprechenden Blocklisten in den Alias der Firewall herrsch so ziemlich ruhe. wenn sich dann doch einer Probiert hat, habe ich mit IP Analyzer geschaut, wozu die IP gehört und bei privaten Adressbereichen von Providern gleich das ganze Netz gesperrt. Nach einem Monat stille. Mailserver lief ohne Schwierigkeiten.

Router geändert auf Unifi UDM pro (diesmal mit der FW beta 3.0.19):
mit Konfiguriertem IPS herrscht stille am Mailserver. geniale Sache! und man sieht in der UDM was da alles geblockt wurde und warum
--> vom 25 März bis heute 957 Blockierungen.

Man sollte, wenn man einen Mailserver zuhause betrieben will etwas in seine IT Infrastruktur investieren, dann sehe ich da kein Problem für einen sicheren Betrieb, wenn fail2ban Benutzer individuell und Passwörter stabil sind.
Ich hatte auch bis jetzt keine, bis nur sehr geringe Akzeptanzprobleme, die sich mit einer Mail an den Postmaster schnell klären ließen. Auch Outlook / Gmail / GMX / Yahoo und selbst die Telekom (die hier gerne zickig ist) funktionieren Problemlos, wie auch dem Empfang.

Spam lässt sich gut erledigen wenn die entsprechenden Prüfungen wie SPF / DKIM / DMARC den HELO Check und das unbefugte Pipelining zurückweisen aktiviert.

Ich habe auch einen vergleich mit einem Mailcow Server in einem Rechenzentrum:
Ja, eine Mailcow kann mehr, man kann aber auch wesentlich mehr "mist" bauen. Auch sind Backups wesentlich fummeliger als bei einer Synology.
Könnte man in der Synology beim Postfix das TLS besser einstellen und MTA-STS Prüfung aktivieren, wäre der MailPlus Server der King!

PS: Der Mailcow Server ist ein Backup Server. Wenn die Synology ausfallen würde, nimmt die Mailcow die Emails entgegen. Die Synology holt solche Mails bei nächster gelegenheit per POP3 bei der Mailcow ab.
Da dort bis jetzt keine Mails gelandet sind (außer ich wollte es), passt diese Konfiguration ganz gut.