Merkwürde Maillogeinträge SASL LOGIN authentication failed

[thomas10]

Hallo Ihr lieben, seit Tagen tauchen in den Maillogs immer wieder folgende Einträge auf:

Aug 11 12:51:43 server postfix/smtpd[8026]: connect from unknown[45.129.14.31]
Aug 11 12:51:54 server postfix/smtpd[8026]: warning: unknown[45.129.14.31]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Aug 11 12:51:54 server postfix/smtpd[8026]: disconnect from unknown[45.129.14.31] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Aug 11 12:52:00 server postfix/smtpd[9306]: warning: hostname love.explorethebest.com does not resolve to address 45.129.14.31
Aug 11 12:52:00 server postfix/smtpd[9306]: connect from unknown[45.129.14.31]

Was hat es damit aufsich, bzw. wie unterbinde ich diese Angriffe?

Vielen Dank für eure Hilfe

 

[Till]

Ignorier sie einfach, unterbunden werden sie von alleine durch fail2ban sobald die anzahl der max password Fehlversucher erreicht ist für die IP.

 

[thomas10]

Danke für deine Einschätzung. Allerdings hab ich das Gefühl, dass fail2ban nicht korrekt arbeitet. Ich hatte gestern bei einem Kunden an gehacktes Postfach und es wurde Spam verschickt. Darauf folgte eine Abuse Meldung von netcup. Deswegen gehe ich die Logs durch und das war mir aufgefallen. Kann ich die Arbeitsweise von fail2ban überprüfen?

 

[Till]

Kann ich die Arbeitsweise von fail2ban überprüfen?

Leg ein neues postfach an, richte es in einem mail client auf deinem desktop ein, gib mehrfach ein falsches passwort an, nach einigen versuchen müsste er dich blockieren. kannst Du auch im fail2ban.log sehen und wie viele versuche Du hast steht in den fail2ban config files, denke mal 3 oder 5.

 

[thomas10]

Danke, auf die einfachsten Sachen kommt man manchmal nicht ... Das sieht dann in den Logs so aus:

Aug 11 17:51:24 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<tHr1rqcCwPtT3eJH>
Aug 11 17:51:34 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<d6+Wr6cCwvtT3eJH>
Aug 11 17:52:03 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<GwVIsacCxvtT3eJH>
Aug 11 17:52:11 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<lk2+sacCx/tT3eJH>
Aug 11 17:52:18 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<7DQxsqcCyPtT3eJH>
Aug 11 17:52:33 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<ZPkPs6cCyftT3eJH>
Aug 11 17:52:40 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<k0R5s6cCyvtT3eJH>
Aug 11 17:52:46 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<Whjgs6cCy/tT3eJH>
Aug 11 17:52:55 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<Kq1dtKcCzPtT3eJH>
Aug 11 17:53:14 server dovecot: imap-login: Disconnected (auth failed, 3 attempts in 6 secs): user=<test@hallowelt.de>, method=PLAIN, rip=x.x.x.x, lip=x.x.x.x, TLS, session=<jsJ/tacCzftT3eJH>

Läuft da alles so wie es soll mit FailToBan? Und gibt es vielleicht noch eine andere Möglichkeit ein gehacktes Mailkonto zu verhindern? Der Angriff erfolgte wohl über eine brute force Attacke. Das Passwort wurde mit ISPconfig erstellt.

 

[matz]

Danke für deine Einschätzung. Allerdings hab ich das Gefühl, dass fail2ban nicht korrekt arbeitet. Ich hatte gestern bei einem Kunden an gehacktes Postfach und es wurde Spam verschickt. Darauf folgte eine Abuse Meldung von netcup. Deswegen gehe ich die Logs durch und das war mir aufgefallen. Kann ich die Arbeitsweise von fail2ban überprüfen?

Wie viele postfix-sasl.conf-Dateien hast du? Bei mir sind es 3, also -sasl, -sasl2, -sasl3. Diese dann in der jail.local eintragen und es funktioniert. Manchmal sehe ich allerdings, dass SASL LOGIN - Einträge doch nicht unterbunden werden, als ob fail2ban irgendwie ausgetrickst wird. Das gleiche bei den Scannern, wie z.B. Strechiod.

Zum Thema gehackte Postfächer: Scheiß den Kunden zusammen oder lege eine Passwort-Policy an. Entweder ist der Kunde auf Social Engineering reingefallen oder er hatte ein ganz, ganz schlechtes, simples Passwort. Das geht heute wirklich nicht mehr. Mir sind sogar die Passwörter, die ISPC generiert noch zu schwach, das ist aber meine persönliche Befindlichkeit und nichts was ich als Kritik öffentlich vortragen würde.

Ich bin auch bei netcup und wegen solcher "Kunden" wurde das ganze Subnetz in dem mein Server liegt auf uceprotectl3 auf die schwarze Liste gesetzt. Das ist dich Mist weil manche Mailanbieter diese uceprotect für Spam-Abwehr nutzen. Ich hatte noch nie Abuse-Hinweise und jetzt bin ich im Rahmen der Kollektiv-Strafe mit dabei.

 

[thomas10]

Wie viele postfix-sasl.conf-Dateien hast du? Bei mir sind es 3, also -sasl, -sasl2, -sasl3. Diese dann in der jail.local eintragen und es funktioniert. Manchmal sehe ich allerdings, dass SASL LOGIN - Einträge doch nicht unterbunden werden, als ob fail2ban irgendwie ausgetrickst wird. Das gleiche bei den Scannern, wie z.B. Strechiod.

Zum Thema gehackte Postfächer: Scheiß den Kunden zusammen oder lege eine Passwort-Policy an. Entweder ist der Kunde auf Social Engineering reingefallen oder er hatte ein ganz, ganz schlechtes, simples Passwort. Das geht heute wirklich nicht mehr. Mir sind sogar die Passwörter, die ISPC generiert noch zu schwach, das ist aber meine persönliche Befindlichkeit und nichts was ich als Kritik öffentlich vortragen würde.

Ich bin auch bei netcup und wegen solcher "Kunden" wurde das ganze Subnetz in dem mein Server liegt auf uceprotectl3 auf die schwarze Liste gesetzt. Das ist dich Mist weil manche Mailanbieter diese uceprotect für Spam-Abwehr nutzen. Ich hatte noch nie Abuse-Hinweise und jetzt bin ich im Rahmen der Kollektiv-Strafe mit dabei.

Ich hab eine pastfix-sasl.conf:

# Fail2Ban filter for postfix authentication failures
#


[INCLUDES]


before = common.conf


[Definition]


_daemon = postfix/smtpd


failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$


# Author: Yaroslav Halchenko
ignoreregex =

jail.local

[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled  = true
filter   = postfix-sasl
action   = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s"]
logpath  = /var/log/mail.log
maxretry = 5
bantime  = 12h

Der Kunde hat das Passwort nach eigenen Angaben über ISPconfig erzeugt. Ich halte die erzeugen Passwörter da auch nicht wirklich sicher...

 

[Till]

Ich halte die erzeugen Passwörter da auch nicht wirklich sicher...

Sind sie aber durchaus, es handelt sich um random strings aus Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Bislang hab ich kein System gehsehen das dadurch gehacked wurde dass das Passwort "erraten" wurde, es waren immer Fälle in denen der User a) das Passwort auch für was anderes verwendet hat oder es b) irgendwo im Klartext gespeichert hat oder externe Dienste verwenet hat die es dann im Klartext gespeichert haben oder c) der Desktop des Users gehacked wurde.

 

[matz]

Ich hab eine pastfix-sasl.conf:

# Fail2Ban filter for postfix authentication failures
#


(...)

Das ist meine sasl2:

# Fail2Ban filter for postfix authentication failures
[INCLUDES]
before = common.conf

[Definition]
_daemon = postfix/smtps/smtpd
#failregex = ^$
failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$

und das die sasl3:

# Fail2Ban filter for postfix authentication failures
[INCLUDES]
before = common.conf

[Definition]
_daemon = postfix/submission/smtpd
#failregex = ^$
failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$

Und da sind die Einträge in der jail.local:

[sasl2]
enabled = true
port = smtp,smtps,587,993,465
filter = postfix-sasl2
findtime = 86400
bantime = 604800
logpath = /var/log/mail.log
maxretry = 3


[sasl3]
enabled = true
port = smtp
filter = postfix-sasl3
findtime = 86400
bantime = 604800
logpath = /var/log/mail.log
maxretry = 3

Zum Thema Passwortsicherheit machen wir dann ein Unterforum auf