postscreen oder reject_rbl_client für smtps

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

postscreen oder reject_rbl_client für smtps

Hajo Locke
Hallo Liste,

ich suche Eure Hilfe zu einem Konfigurationsproblem.

Wir setzen eine eigene RBL ein, in der wir die IPs von
smtp-bruteforcenden Clients oder auch KundenIPs nach einem erkannten
Hack speichern und per postcreen direkt abweisen können. Wir machen das
bewusst per postscreen_dnsbl_sites vor jeglichem
permit_sasl_authenticated. Das läuft gut auf Port 25 und 587.

Neuerdings probieren einige IPs aber smtp-auths auf Port 465 durch, dort
haben wir bisher keinen postscreen.
Ich versuche nun auf Port 465 ebenfalls postscreen analog zu meinen
Einstellungen für port 25/587 zu aktivieren.  Scheinbar ist das aber
nicht vorgesehen, trotz -o smtpd_tls_wrappermode=yes ist der Zugriff
ausschließlich unverschlüsselt möglich. Hier greifen sicherlich nur
postscreeneigene Optionen, für die es offenbar kein Pendant zu
smtpd_tls_wrappermode gibt.

Als Alternative probierte ich die smtpd_client_restrictions des
bisherigen smtpd auf Port 465 um reject_rbl_client zu erweitern, auch
das würde mir genügen. Das scheitert aber am Whitespace, den ich
zwingend bei reject_rbl_client verwenden muss.
Ich kann es in der master.cf hin und herdrehen, irgendwelche Fehler gibt
es immer:

Gibt es denn eine Möglichkeit sowas in der master.cf zu verwenden?
  -o smtpd_client_restrictions=reject_rbl_client myrbl.example.com

Ich will eigentlich nicht auf postscreen verzichten und extra wegen
smtps einen reject_rbl_client in die Standard
smtpd_recipient_restrictions aufnehmen.

Danke für Eure Tipps,
Hajo
Reply | Threaded
Open this post in threaded view
|

Re: [ext] postscreen oder reject_rbl_client für smtps

Ralf Hildebrandt
* Hajo Locke <[hidden email]>:

> Gibt es denn eine Möglichkeit sowas in der master.cf zu verwenden?
>  -o smtpd_client_restrictions=reject_rbl_client myrbl.example.com

Ja das geht.
...
  -o smtpd_client_restrictions=smtps

smtpd_restriction_classes = smtps

smtps = reject_rbl_client myrbl.example.com

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           

signature.asc (201 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] postscreen oder reject_rbl_client für smtps

Hajo Locke
Hallo,

Am 25.04.2018 um 15:10 schrieb Ralf Hildebrandt:

> * Hajo Locke <[hidden email]>:
>
>> Gibt es denn eine Möglichkeit sowas in der master.cf zu verwenden?
>>   -o smtpd_client_restrictions=reject_rbl_client myrbl.example.com
> Ja das geht.
> ...
>    -o smtpd_client_restrictions=smtps
>
> smtpd_restriction_classes = smtps
>
> smtps = reject_rbl_client myrbl.example.com
>
Danke, das klappt. Ich benutze eigentlich schon jetzt einige Klassen,
aber an diese Art Einsatz hab ich gar nicht mehr gedacht.

Danke,
Hajo

Reply | Threaded
Open this post in threaded view
|

Re: [ext] postscreen oder reject_rbl_client für smtps

Jens Adam-2

Alternativ kann man bei Postfix 3.x auch noch

  -o { name = value } (long form, Postfix >= 3.0)

  Specify "{" and "}" around command arguments that contain whitespace (Postfix 3.0 and later). Whitespace after "{" and before "}" is ignored.

probieren, siehe http://www.postfix.org/master.5.html

--byte



signature.asc (499 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: postscreen oder reject_rbl_client für smtps

Christian Boltz
In reply to this post by Hajo Locke
Hallo Hajo, hallo zusammen,

Am Mittwoch, 25. April 2018, 13:08:19 CEST schrieb Hajo Locke:
> Gibt es denn eine Möglichkeit sowas in der master.cf zu verwenden?
>   -o smtpd_client_restrictions=reject_rbl_client myrbl.example.com

Ersetze das Leerzeichden durch ein Komma:
   -o smtpd_client_restrictions=reject_rbl_client,myrbl.example.com


Gruß

Christian Boltz
--
Spätestens dabei handelt es sich um Filtereffekte, die ImageMagick
bestimmt nicht beherrschen kann. Sollten sie _das_ nachprogrammiert
haben, würde ich barfuß hinlaufen und ihnen ein halbes Schwein
opfern ob ihrer Genialität. [Ratti in suse-linux]



Reply | Threaded
Open this post in threaded view
|

Re: postscreen oder reject_rbl_client für smtps

Hajo Locke
Hallo,

Am 25.04.2018 um 20:05 schrieb Christian Boltz:
> Hallo Hajo, hallo zusammen,
>
> Am Mittwoch, 25. April 2018, 13:08:19 CEST schrieb Hajo Locke:
>> Gibt es denn eine Möglichkeit sowas in der master.cf zu verwenden?
>>    -o smtpd_client_restrictions=reject_rbl_client myrbl.example.com
> Ersetze das Leerzeichden durch ein Komma:
>     -o smtpd_client_restrictions=reject_rbl_client,myrbl.example.com
Ja, klappt auch und ist noch minimalistischer, Danke. Erschreckend, ich
hab das Gefühl auch das wusste ich früher schon mal.
>
>
> Gruß
>
> Christian Boltz
Danke noch mal an alle Helfer,
Hajo
Reply | Threaded
Open this post in threaded view
|

Re: postscreen oder reject_rbl_client für smtps

Hajo Locke
In reply to this post by Christian Boltz
Hallo,

Am 25.04.2018 um 20:05 schrieb Christian Boltz:
> Hallo Hajo, hallo zusammen,
>
> Am Mittwoch, 25. April 2018, 13:08:19 CEST schrieb Hajo Locke:
>> Gibt es denn eine Möglichkeit sowas in der master.cf zu verwenden?
>>    -o smtpd_client_restrictions=reject_rbl_client myrbl.example.com
> Ersetze das Leerzeichden durch ein Komma:
>     -o smtpd_client_restrictions=reject_rbl_client,myrbl.example.com

noch ein Hinweis für alle die ähnliches einsetzen wollen. Hab grad noch
geknabbert, aber es ist notwendig auch
-o smtpd_delay_reject=no
zu setzen (default yes). Andernfalls werden die Restriktionen erst am
Ende des ganzen Dialoges ausgeführt und der Angreifer hat zumindest noch
einen Loginversuch frei.
>
>
> Gruß
>
> Christian Boltz
Hajo