Nervensägen in Dovecot

classic Classic list List threaded Threaded
12 messages Options
Reply | Threaded
Open this post in threaded view
|

Nervensägen in Dovecot

Uwe Drießen
Ich hab da mal ne Frage

Aug  6 00:00:21 mail dovecot: auth:
cache([hidden email],177.44.25.101): unknown user (given password:
rollingstones2010)
Aug  6 00:00:31 mail dovecot: auth:
cache([hidden email],177.129.206.103): unknown user (given
password: rollingstones2010)
Aug  6 00:00:40 mail dovecot: auth:
cache([hidden email],177.84.98.113): unknown user (given password:
rollingstones2010)
Aug  6 00:00:50 mail dovecot: auth:
cache([hidden email],200.23.234.175): unknown user (given password:
rollingstones2010)
Aug  6 00:00:59 mail dovecot: auth:
cache([hidden email],177.221.98.138): unknown user (given password:
rollingstones2010)
Aug  6 00:01:09 mail dovecot: auth:
cache([hidden email],189.91.5.87): unknown user (given password:
rollingstones2010)
Aug  6 00:01:19 mail dovecot: auth:
cache([hidden email],131.100.76.206): unknown user (given password:
rollingstones2010)

Damit bekomme ich dauernd  das log zugemüllt
Gibt es eine Möglichkeit das Dovecot bei sowas KEINE Antwort gibt ?
Einfach silent discarded ?

Das scheint zur Zeit in einigen Botnetzen modern zu sein immer wieder
irgendwelchen Schwachsinn auszuprobieren
Unbekannte User als auch bekannte user mit falschen Passwörtern

Ich würde denen gerne den Spaß dran ein bissel verkrätzen :-) und auch das
das system nicht mehr verrät als das es muss
Fail2ban wirft die eh schon raus und sperrt den Zugriff aber da ist eine
Verzögerung drin. Käme gar keine Antwort (kein Passwort falsch, User
unbekannt) würden die Anfragen evtl. schneller aufhören.  


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise
dermaßen erhöht, das wir nur noch am PC sitzen müssten,
 dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise
zurückzukehren"
"Programmierer müssen lernen wie Menschen denken. "




Reply | Threaded
Open this post in threaded view
|

Re: Nervensägen in Dovecot

Klaus Tachtler
Hallo Uwe,

was hast Du in /etc/dovoecot/conf.d/10-logging.conf bei:

##
## Logging verbosity and debugging.
##

# Log unsuccessful authentication attempts and the reasons why they failed.
auth_verbose = no


Siehe auch: https://wiki2.dovecot.org/Logging


Grüße
Klaus.


> Ich hab da mal ne Frage
>
> Aug  6 00:00:21 mail dovecot: auth:
> cache([hidden email],177.44.25.101): unknown user (given password:
> rollingstones2010)
> Aug  6 00:00:31 mail dovecot: auth:
> cache([hidden email],177.129.206.103): unknown user (given
> password: rollingstones2010)
> Aug  6 00:00:40 mail dovecot: auth:
> cache([hidden email],177.84.98.113): unknown user (given password:
> rollingstones2010)
> Aug  6 00:00:50 mail dovecot: auth:
> cache([hidden email],200.23.234.175): unknown user (given password:
> rollingstones2010)
> Aug  6 00:00:59 mail dovecot: auth:
> cache([hidden email],177.221.98.138): unknown user (given password:
> rollingstones2010)
> Aug  6 00:01:09 mail dovecot: auth:
> cache([hidden email],189.91.5.87): unknown user (given password:
> rollingstones2010)
> Aug  6 00:01:19 mail dovecot: auth:
> cache([hidden email],131.100.76.206): unknown user (given password:
> rollingstones2010)
>
> Damit bekomme ich dauernd  das log zugemüllt
> Gibt es eine Möglichkeit das Dovecot bei sowas KEINE Antwort gibt ?
> Einfach silent discarded ?
>
> Das scheint zur Zeit in einigen Botnetzen modern zu sein immer wieder
> irgendwelchen Schwachsinn auszuprobieren
> Unbekannte User als auch bekannte user mit falschen Passwörtern
>
> Ich würde denen gerne den Spaß dran ein bissel verkrätzen :-) und auch das
> das system nicht mehr verrät als das es muss
> Fail2ban wirft die eh schon raus und sperrt den Zugriff aber da ist eine
> Verzögerung drin. Käme gar keine Antwort (kein Passwort falsch, User
> unbekannt) würden die Anfragen evtl. schneller aufhören.
>
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
>
> Netzwerke, Server.
> Wir vernetzen Sie und Ihre Rechner !
>
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
> "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise
> dermaßen erhöht, das wir nur noch am PC sitzen müssten,
>  dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise
> zurückzukehren"
> "Programmierer müssen lernen wie Menschen denken. "

----- Ende der Nachricht von Uwe Drießen <[hidden email]> -----



--

--------------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
--------------------------------------------

attachment0 (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: Nervensägen in Dovecot

Uwe Drießen
Im Auftrag von Klaus Tachtler

Hallo Klaus

>
> was hast Du in /etc/dovoecot/conf.d/10-logging.conf bei:
>
> ##
> ## Logging verbosity and debugging.
> ##
>
> # Log unsuccessful authentication attempts and the reasons why they failed.
> auth_verbose = no

Da habe ich yes drin stehen
Ich möchte schon wissen woher die PW checks kommen  von wo versucht wird Passwörter auszuspähen.
Ich hätte aber gerne das diejenigen die das versuchen keine Antwort bekommen.

Wenn User und PW richtig kommt OK
Ist es falsch kommt gar nichts als würde das System keine Anfragen verarbeiten :-)
 




Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten,
 dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren"
"Programmierer müssen lernen wie Menschen denken. "




Reply | Threaded
Open this post in threaded view
|

Re: Nervensägen in Dovecot

Martin Steigerwald
In reply to this post by Uwe Drießen
Uwe Drießen - 06.08.19, 00:09:17 CEST:
> Ich hab da mal ne Frage
>
> Aug  6 00:00:21 mail dovecot: auth:
> cache([hidden email],177.44.25.101): unknown user (given
> password: rollingstones2010)
> Aug  6 00:00:31 mail dovecot: auth:
> cache([hidden email],177.129.206.103): unknown user (given
> password: rollingstones2010)

Hab ich auch immer wieder… Ich dachte, dass sshguard da greift, tut es
aber auf meinem System aus irgendeinem Grund nicht. Mit fail2ban könnte
ich mir vorstellen, dass sich das unterbinden lässt.

Ciao,
--
Martin


Reply | Threaded
Open this post in threaded view
|

Re: AW: Nervensägen in Dovecot

Klaus Tachtler
In reply to this post by Uwe Drießen
Hallo Uwe,

dazu gibt die Doku von Dovecot leider nichts her, wie Du auch bestimmt
schon gesehen hast.

In
https://github.com/dovecot/core/blob/master/src/auth/auth-master-connection.c
habe ich auf die Schnelle auch nichts gesehen.

Diese Frage kann ggf. auf dieser Mailingliste beantwortet werden,
falls Du nicht schon da gefragt hattest:
https://dovecot.org/mailman/listinfo/dovecot


Grüße
Klaus.

> Im Auftrag von Klaus Tachtler
>
> Hallo Klaus
>
>>
>> was hast Du in /etc/dovoecot/conf.d/10-logging.conf bei:
>>
>> ##
>> ## Logging verbosity and debugging.
>> ##
>>
>> # Log unsuccessful authentication attempts and the reasons why they failed.
>> auth_verbose = no
>
> Da habe ich yes drin stehen
> Ich möchte schon wissen woher die PW checks kommen  von wo versucht
> wird Passwörter auszuspähen.
> Ich hätte aber gerne das diejenigen die das versuchen keine Antwort bekommen.
>
> Wenn User und PW richtig kommt OK
> Ist es falsch kommt gar nichts als würde das System keine Anfragen
> verarbeiten :-)
>
>
>
>
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
>
> Netzwerke, Server.
> Wir vernetzen Sie und Ihre Rechner !
>
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
> "wenn Digitalisierung den Aufwand im Vergleich zur Analogen
> Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten,
>  dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise
> zurückzukehren"
> "Programmierer müssen lernen wie Menschen denken. "

----- Ende der Nachricht von Uwe Drießen <[hidden email]> -----



--

--------------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
--------------------------------------------

attachment0 (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Nervensägen in Dovecot

Winfried Neessen
In reply to this post by Uwe Drießen
Hi,

On 6. Aug 2019, at 09:12, Uwe Drießen <[hidden email]> wrote:

> Ich möchte schon wissen woher die PW checks kommen von wo versucht wird Passwörter auszuspähen.
> Ich hätte aber gerne das diejenigen die das versuchen keine Antwort bekommen.
>
> Wenn User und PW richtig kommt OK
> Ist es falsch kommt gar nichts als würde das System keine Anfragen verarbeiten :-)
>

Wo ist der Unterschied? Wenn jemand versucht einen Account zu per Brute-Force zu knacken, schaut das
Script eh nicht auf negative Antworten sondern wartet auf ein "OK". Dem potenziellen Angreifer ist es voellig
egal ob da jetzt nichts zurueck kommt oder "Login failed".

In der Regel probieren die Scripte eh irgendwelche vorgefertigten Passwordlisten durch. Wenn Deine User
sinnvolle und starke Passwoerter benutzen, dann sollte Dir ein Brute-Force Angriff egal sein und da Du ja
sowieso fail2ban nutzt, bleiben dem Script eh nur eine Hand voll Versuche bis die IP geblockt wird.

Diese ganzen Aufwaende nur um ein paar Script-Kiddies den Spass zu verderben ist m. E. der absolut
falsche Ansatz.


Winni

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: Nervensägen in Dovecot

Uwe Drießen
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Im Auftrag von Winfried Neessen

>
> Hi,
>
> On 6. Aug 2019, at 09:12, Uwe Drießen <[hidden email]> wrote:
>
>
> Wo ist der Unterschied? Wenn jemand versucht einen Account zu per Brute-
> Force zu knacken, schaut das
> Script eh nicht auf negative Antworten sondern wartet auf ein "OK". Dem
> potenziellen Angreifer ist es voellig
> egal ob da jetzt nichts zurueck kommt oder "Login failed".

Es macht aber schon einen Unterschied ob der Angreifer bestätigt bekommt das da ein auth system arbeitet oder eben auch nicht.

Eine unsichtbare Tür ist weit aufwändiger zu finden als ein großes Burgtor.
Und wenn ich nicht weiß das da eine Tür ist werde ich wohl das Brecheisen nicht unbedingt da ansetzen.

>
> In der Regel probieren die Scripte eh irgendwelche vorgefertigten
> Passwordlisten durch. Wenn Deine User
> sinnvolle und starke Passwoerter benutzen, dann sollte Dir ein Brute-Force

Weiß ich das ?
Es sollte so sein
Wechseln die es alle 3 Monate?
Eigentlich ein muss ......

z.T. kommen die Abfragen  auch mit nicht mehr existenten Adressen und irgendwann mal gültigen Passwörtern.
Woher die Passwörter stammen und auf welchem weg die bekannt wurden ist heute nicht mehr nachvollziehbar.

Ich kenne nur einen sicheren Server :-)
3 Meter Dicker Stahlbeton von allen Seiten, keine Fenster, keine Türen, keinen Strom und keinen Internetanschluss am Server .
Die Frage ist nicht Ob eingebrochen wird sondern immer nur wie hoch ist der Aufwand und wann wird es passieren :-)  

> Angriff egal sein und da Du ja
> sowieso fail2ban nutzt, bleiben dem Script eh nur eine Hand voll Versuche bis
> die IP geblockt wird.

Wenn es denn nur eine wäre
Es kommt schwallartig innerhalb weniger minuten einige 100 IP z.T. Weltweit
Einzelne IP in der Regel nur einmal im Schwall  aber über Tage immer wieder

>
> Diese ganzen Aufwaende nur um ein paar Script-Kiddies den Spass zu
> verderben ist m. E. der absolut
> falsche Ansatz.

keine Scriptkiddies (wären nur wenige IP Adressen)
Eher große Botnetze die Anzahl der IP Adressen z.T. mehrere 100 IPAdressen aus denselben Ländern.

Und wenn es zu viel wird setzen wir halt noch ein paar Server mehr ein :-)



Mit freundlichen Grüßen

Uwe Drießen
- --
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten,
 dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren"
"Programmierer müssen lernen wie Menschen denken. "



-----BEGIN PGP SIGNATURE-----

iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAl1JQ5kACgkQur3LxV3c
LvzXnwf9Ee1MVJniWWVFpkpbYa+PugTr3oev3l6ckzdThph/TcqgPemOshaDyufU
UMr1zRBl5pCjpZOgTN321KWH8nPKllrM8F5SmqXW+u3eTSmwMfGISPYZ9r59aZDu
X34IhxcHVUWzQgRpBcsB6aXF+BdlMmTBaUMr9Lm1QBamWZfYnbKAsYFZ6ZDQdZyH
TEDtM0r0n0rzf5orXybuQOqFw/cilc3/eInI57U4W6KvkgD7QFuKJ/LiHW+aMmSh
o8HhckRK1DBYAU8EjPc51KCYRswzJMxJjUVzjJB3g3RoFpajN3UqoxHbe2s55UhR
kN67XxFGOvvyLFOSeZGj6YldeXsRIg==
=f+pM
-----END PGP SIGNATURE-----

Reply | Threaded
Open this post in threaded view
|

Re: [ext] AW: Nervensägen in Dovecot

Ralf Hildebrandt
* Uwe Drießen <[hidden email]>:

> Es macht aber schon einen Unterschied ob der Angreifer bestätigt bekommt das da ein auth system arbeitet oder eben auch nicht.

Öhm, das erfährt er schon vorher, also in dem Augenblick wo er
Username & Passwort schickt (weil er den Banner erhalten hat).

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Nervensägen in Dovecot

Winfried Neessen
In reply to this post by Uwe Drießen

On 6. Aug 2019, at 11:08, Uwe Drießen <[hidden email]> wrote:

> Es macht aber schon einen Unterschied ob der Angreifer bestätigt bekommt das da ein auth
> system arbeitet oder eben auch nicht.
>
Das ist ein Irrglaube. Die meisten Brute-Force Systeme warten nichtmal auf die Antwort des Servers
sondern pumpen einfach Requests rein. Fuer den Angreifer ist es viel zu viel Aufwand auf eine negative
Antwort zu warten. Der Angreifer will schnellen Erfolg mit moeglichst wenig Aufwand.

> Eine unsichtbare Tür ist weit aufwändiger zu finden als ein großes Burgtor.
> Und wenn ich nicht weiß das da eine Tür ist werde ich wohl das Brecheisen nicht unbedingt da ansetzen.
>
Klassische "Security by Obscurity"-Taktik. Das ist genau wie den Versions-String vom Webserver auf 'ne
andere Versionsnummer zu setzen um zu suggerieren, dass der Angreifer garnicht versuchen braucht
einen Angriff zu starten.

> > In der Regel probieren die Scripte eh irgendwelche vorgefertigten Passwordlisten durch. Wenn Deine User
> > sinnvolle und starke Passwoerter benutzen, dann sollte Dir ein Brute-Force
>
> Weiß ich das ?
> Es sollte so sein

Naja, Du kannst das. ja durchaus forcieren in dem Du sinvolle Passwordregeln vorgibst.

> Wechseln die es alle 3 Monate?

Voelliger Schwachsinn. Das ist eine Methode aus den 80ern die schon laengst als nicht sinnvoll widerlegt
wurde.

> z.T. kommen die Abfragen  auch mit nicht mehr existenten Adressen und irgendwann mal gültigen Passwörtern.

So what? Wenn die Adresse nicht mehr existiert, dann kann der Angreifer soviel versuchen sich einzuloggen wie
er moechte. Es wird nie funktioneren.

> Woher die Passwörter stammen und auf welchem weg die bekannt wurden ist heute nicht mehr nachvollziehbar.
>
Aus irgendwelche Data-Breaches (LinkedIn, Adobe, Yahoo, etc.) oder von lokaler Malware auf dem Rechner des
eigentlichen Mailkonto-Inhabers.

> Die Frage ist nicht Ob eingebrochen wird sondern immer nur wie hoch ist der Aufwand und wann wird es passieren :-)
>
Richtig. Aber die Aufwaende die Du da treibst machen es dem Angreifer nicht schwieriger, sondern nur Dir.

> keine Scriptkiddies (wären nur wenige IP Adressen)

Das ist Quatsch. Dank mietbaren Botnetzen kann jeder tausende IPs fuer 'n Appel und 'n Ei mieten.



signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Nervensägen in Dovecot

Ralf Hildebrandt
> > Woher die Passwörter stammen und auf welchem weg die bekannt wurden ist heute nicht mehr nachvollziehbar.
> >
> Aus irgendwelche Data-Breaches (LinkedIn, Adobe, Yahoo, etc.) oder von lokaler Malware auf dem Rechner des
> eigentlichen Mailkonto-Inhabers.

In dem Zusammenhang möchte ich noch auf https://haveibeenpwned.com
hinweisen, wo man seine eigen Emailadresse abfragen kann.

Als Domaineninhaber geht sogar eine Abfrage über die gesamte Domain:
https://haveibeenpwned.com/DomainSearch

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

AW: [ext] AW: Nervensägen in Dovecot

Uwe Drießen
In reply to this post by Ralf Hildebrandt

> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-
> [hidden email]] Im Auftrag von Ralf Hildebrandt
> Gesendet: Dienstag, 6. August 2019 11:17
> An: [hidden email]
> Betreff: Re: [ext] AW: Nervensägen in Dovecot
>
> * Uwe Drießen <[hidden email]>:
>
> > Es macht aber schon einen Unterschied ob der Angreifer bestätigt
> bekommt das da ein auth system arbeitet oder eben auch nicht.
>
> Öhm, das erfährt er schon vorher, also in dem Augenblick wo er
> Username & Passwort schickt (weil er den Banner erhalten hat).
>

Stimmt, hab ich nicht dran gedacht
In dem Moment in dem er die Verbindung öffnet bekommt er schon mitgeteilt wer da auf der anderen Seite ist

Grrrrr  


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten,
 dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren"
"Programmierer müssen lernen wie Menschen denken. "



Reply | Threaded
Open this post in threaded view
|

Re: Nervensägen in Dovecot

Martin Steigerwald
In reply to this post by Winfried Neessen
Winfried Neessen - 06.08.19, 11:24:47 CEST:
> > Eine unsichtbare Tür ist weit aufwändiger zu finden als ein großes
> > Burgtor. Und wenn ich nicht weiß das da eine Tür ist werde ich wohl
> > das Brecheisen nicht unbedingt da ansetzen.
> Klassische "Security by Obscurity"-Taktik. Das ist genau wie den
> Versions-String vom Webserver auf 'ne andere Versionsnummer zu setzen
> um zu suggerieren, dass der Angreifer garnicht versuchen braucht
> einen Angriff zu starten.

Nicht als Security by Obscurity aber als Taktik die Protokolle sauber zu
halten funktioniert bei mir SSH auf einen anderen Port zu legen. Ich
sehe da bei Stichproben-artigen Kontrollen üblicherweise nur Stille im
Log.

Da außer mir nur ein paar Freunde meinen Mail-Server nutzen, wäre das
für Dovecot auch eine Idee. Aber für einen Server mit vielen Benutzern
ist das eher unpraktisch.

So oder so… lohnt sich der Aufwand wahrscheinlich nicht. fail2ban sollte
das doch blocken.

--
Martin