Gehackte (missbrauchte) Mailkonten automatisiert sperren

Frank77

Member
Hallo,
ich verwende ISPConfig 3.2.10 auf einem Ubuntu 22.04 Server und soweit funktioniert alles prächtig, inklusive DKIM, SPF, DMARC und das nötige SRS.

Immer mal wieder kommt aber ein Spammer daher und bekommt irgendwie eines der bei mir gehostet Mailkonten zu fassen - ich weiß nicht, ob über Kennwortlisten oder Malware oder wie auch immer. "Starke" Kennwörter haben hier bisher nicht geholfen. Ich würde solchen Vorkommen gerne möglichst automatisiert Herr werden, bevor mein Server in irgendwelchen RBLs landet.

Implementiert ist bereits:
- rspamd, der auch von lokalen authentifizierten Usern offensichtlichen Müll ablehnt,
- ratelimit in rspamd, der für alle Konten bis auf ein paar handverlesene Newsletterverteiler nach einer gewissen Mailanzahl die Senderate beschränkt.
- Deaktivieren von Mailkonten, die <N> Monate nicht benutzt wurden
- jährliche Erinnerungsmail an alle Nutzer, ihr Kennwort zu ändern

Mein Feindbild für den Rest:
- Spammer hat ein Konto (gehackt - über Malware, schwaches Kennwort, whatever), d.h. hat SMTP Zugang
- Spammer spammt u.U. "langsam" (keine 100 Mails pro Sekunde) - also zu langsam, damit das o.g. ratelimiting zuschlagen kann
- Spam wird (noch) nicht von rspamd erkannt
- Spam wird (noch) nicht von anderen MTAs als Spam erkannt und daher auch nicht bounced / rejected

Wie verhindere ich sowas?

Meine Ideen bisher:
- fail2ban auf postfix bounces ansetzen: Reagiert zu spät
- 2FA: Funktioniert nur über Webclients, kostet meist Geld und ist komplex zu implementieren.
- IMAP-before-SMTP: Das gab es früher mal, bringt das heute noch was?
- Länderwechsel: SMTP Verbindungen per GeoIP überwachen. Länderwechsel per 2FA bestätigen lassen. Zu komplex, s.o.

Wer hat weitere Ideen?
Wie haltet ihr Euch solche Spammer vom Leibe?

Danke & Gruß
 

Werbung

Top