Nervensägen blocken

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Nervensägen blocken

Daniel-6
Hallo Liste,

wie geht ihr mit Nervensägen um welche Logs zumüllen durch tagelange Versuche an wahllose und hunderte sinnlose Versuche an
Postfächer zuzustellen welche es nicht gibt.

Also es gibt z.B. User, es wird versucht zuzustellen an User123, Userur, User333, usw. in zich Varianten.

Beim Auswerten der Log nervt es einfach wenn da soviele reject stehen, da bei Spamhaus und/oder uceprotect in RBL stehen.

Annehmen und verwerfen ist schlechte Idee, dann kommt da wohl mit Zeit noch mehr weil denken haben Erfolg, und zudem rechtlich
riskant.

Also besser direkt in Firewall blocken. Aktuell sind es bei mir welche ich direkt geblockt habe:
37.120.150.0
45.82.34.0
134.73.76.0
212.7.222.0
217.112.128.0

Macht ihr sowas manuell? Script mit IPban und co.?

Gruß Daniel


Reply | Threaded
Open this post in threaded view
|

Re: Nervensägen blocken

Peter Buettner
Hallo Daniel,

bi mir werden unbekannte User mit 550 zurückgewiesen und dann alle
550'er mit fail2ban gleich nach dem ersten Versuch geblockt.

Gruß Peter Büttner

Am 29.07.19 um 04:26 schrieb Daniel:

> Hallo Liste,
>
> wie geht ihr mit Nervensägen um welche Logs zumüllen durch tagelange Versuche an wahllose und hunderte sinnlose Versuche an
> Postfächer zuzustellen welche es nicht gibt.
>
> Also es gibt z.B. User, es wird versucht zuzustellen an User123, Userur, User333, usw. in zich Varianten.
>
> Beim Auswerten der Log nervt es einfach wenn da soviele reject stehen, da bei Spamhaus und/oder uceprotect in RBL stehen.
>
> Annehmen und verwerfen ist schlechte Idee, dann kommt da wohl mit Zeit noch mehr weil denken haben Erfolg, und zudem rechtlich
> riskant.
>
> Also besser direkt in Firewall blocken. Aktuell sind es bei mir welche ich direkt geblockt habe:
> 37.120.150.0
> 45.82.34.0
> 134.73.76.0
> 212.7.222.0
> 217.112.128.0
>
> Macht ihr sowas manuell? Script mit IPban und co.?
>
> Gruß Daniel
>
>
Reply | Threaded
Open this post in threaded view
|

Re: Nervensägen blocken

Kai Fürstenberg
Am 29.07.2019 um 08:30 schrieb Peter Buettner:
> Hallo Daniel,
>
> bi mir werden unbekannte User mit 550 zurückgewiesen und dann alle
> 550'er mit fail2ban gleich nach dem ersten Versuch geblockt.

das finde ich etwas übertrieben. Jeder kann sich mal bei einer
E-Mail-Adresse vertippen und will dann gleich mit der richtigen neu
versenden.

Bei 5x sehe ich das aber anders ...

Gruß
Kai


>
> Gruß Peter Büttner
>
> Am 29.07.19 um 04:26 schrieb Daniel:
>> Hallo Liste,
>>
>> wie geht ihr mit Nervensägen um welche Logs zumüllen durch tagelange Versuche an wahllose und hunderte sinnlose Versuche an
>> Postfächer zuzustellen welche es nicht gibt.
>>
>> Also es gibt z.B. User, es wird versucht zuzustellen an User123, Userur, User333, usw. in zich Varianten.
>>
>> Beim Auswerten der Log nervt es einfach wenn da soviele reject stehen, da bei Spamhaus und/oder uceprotect in RBL stehen.
>>
>> Annehmen und verwerfen ist schlechte Idee, dann kommt da wohl mit Zeit noch mehr weil denken haben Erfolg, und zudem rechtlich
>> riskant.
>>
>> Also besser direkt in Firewall blocken. Aktuell sind es bei mir welche ich direkt geblockt habe:
>> 37.120.150.0
>> 45.82.34.0
>> 134.73.76.0
>> 212.7.222.0
>> 217.112.128.0
>>
>> Macht ihr sowas manuell? Script mit IPban und co.?
>>
>> Gruß Daniel
>>
>>


--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: Nervensägen blocken

Klaus Tachtler
Hallo,

ich finde auch das bei 5x (Standard in Fail2Ban) eine Blockierung o.k. ist.

Bei Fail2ban in /etc/fail2ban/filter.d/postfix.conf kann ganz leicht
die RegEx hinzugefügt werden:

/etc/fail2ban/filter.d/postfix.conf
===================================
...
failregex = ...
             ^%(__prefix_line)sNOQUEUE: reject: RCPT from
\S+\[<HOST>\]: 577 5\.1\.1 <\S+>: Recipient address rejected: .*$

...


/etc/postfix/main.cf
====================
...
unverified_recipient_reject_code = 577
...


für:
====

Jul 30 08:35:29 server60 postfix/smtpd[14520]: NOQUEUE: reject: RCPT
from spam.test.net[xxx.xxx.xxx.xxx]: 577 5.1.1 <[hidden email]>:
Recipient address rejected: undeliverable address: host
xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx] said: 550 5.1.1
<[hidden email]> User doesn't exist: [hidden email] (in
reply to RCPT TO command); from=<[hidden email]>
to=<[hidden email]> proto=ESMTP helo=<spam.test.net>


erzeugt dann in /var/log/fail2ban.log:
======================================
2019-07-30 08:37:15,026 fail2ban.filter         [19384]: INFO
[postfix] Found xxx.xxx.xxx.xxx


Grüße
Klaus.

> Am 29.07.2019 um 08:30 schrieb Peter Buettner:
>> Hallo Daniel,
>>
>> bi mir werden unbekannte User mit 550 zurückgewiesen und dann alle
>> 550'er mit fail2ban gleich nach dem ersten Versuch geblockt.
>
> das finde ich etwas übertrieben. Jeder kann sich mal bei einer
> E-Mail-Adresse vertippen und will dann gleich mit der richtigen neu
> versenden.
>
> Bei 5x sehe ich das aber anders ...
>
> Gruß
> Kai
>
>
>>
>> Gruß Peter Büttner
>>
>> Am 29.07.19 um 04:26 schrieb Daniel:
>>> Hallo Liste,
>>>
>>> wie geht ihr mit Nervensägen um welche Logs zumüllen durch
>>> tagelange Versuche an wahllose und hunderte sinnlose Versuche an
>>> Postfächer zuzustellen welche es nicht gibt.
>>>
>>> Also es gibt z.B. User, es wird versucht zuzustellen an User123,
>>> Userur, User333, usw. in zich Varianten.
>>>
>>> Beim Auswerten der Log nervt es einfach wenn da soviele reject
>>> stehen, da bei Spamhaus und/oder uceprotect in RBL stehen.
>>>
>>> Annehmen und verwerfen ist schlechte Idee, dann kommt da wohl mit
>>> Zeit noch mehr weil denken haben Erfolg, und zudem rechtlich
>>> riskant.
>>>
>>> Also besser direkt in Firewall blocken. Aktuell sind es bei mir
>>> welche ich direkt geblockt habe:
>>> 37.120.150.0
>>> 45.82.34.0
>>> 134.73.76.0
>>> 212.7.222.0
>>> 217.112.128.0
>>>
>>> Macht ihr sowas manuell? Script mit IPban und co.?
>>>
>>> Gruß Daniel
>>>
>>>
>
>
> --
> Kai Fürstenberg
>
> PM an: kai at fuerstenberg punkt ws

----- Ende der Nachricht von Kai Fürstenberg
<[hidden email]> -----



--

--------------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
--------------------------------------------

attachment0 (3K) Download Attachment