Postfix - User send limit - Attacken

[fulltilt]

momentan wird hier mindestens einmal pro Monat ein Emailkonto geknackt ... also trotz Fail2ban usw.
Die Angreifer verfügen anscheinend über einen sehr grossen IP Pool oder ein Botnet, die fehlgeschlagenen Logins zu blocken, hilft also hier alleine nicht weiter.

Gestern wurde über ein einziges Mailkonto innerhalb von wenigen Minuten der Queue auf 12000 mails aufgefüllt, die Angreifer haben diesen einem Zugang mit tausenden IP Adressen verwendet.
Im Postfix selbst ist bereits ein message_rate_limit auf 25 gesetzt, das scheint aber nur pro IP Adresse zu gelten ... d.h. einem Angriff über ein Botnet kann man nichts entgegensetzen ...

Code: Alles auswählen

smtpd_recipient_limit = 50
smtpd_recipient_overshoot_limit = 51
smtpd_hard_error_limit = 20
smtpd_client_recipient_rate_limit = 50
smtpd_client_connection_rate_limit = 10
smtpd_client_message_rate_limit = 25
default_extra_recipient_limit = 50
duplicate_filter_limit = 50
default_destination_recipient_limit = 50
smtp_destination_recipient_limit = $default_destination_recipient_limit

Gibt es irgendeine Möglichkeit z.b. gesendete Mails eines Mail Users zu counten und bei überschreiten eines Limits pro Stunde, diesem Mailuser den Zugriff auf das Mailsystem zu blockieren?

[Dimejo]

momentan wird hier mindestens einmal pro Monat ein Emailkonto geknackt ... also trotz Fail2ban usw.
Die Angreifer verfügen anscheinend über einen sehr grossen IP Pool oder ein Botnet, die fehlgeschlagenen Logins zu blocken, hilft also hier alleine nicht weiter.

Gestern wurde über ein einziges Mailkonto innerhalb von wenigen Minuten der Queue auf 12000 mails aufgefüllt, die Angreifer haben diesen einem Zugang mit tausenden IP Adressen verwendet.
Im Postfix selbst ist bereits ein message_rate_limit auf 25 gesetzt, das scheint aber nur pro IP Adresse zu gelten ... d.h. einem Angriff über ein Botnet kann man nichts entgegensetzen ...

Welches Backend verwendest Du für die Authentifizierung? Bei Dovecot gibt es zu diesem Zweck auth_failure_delay, das die Antwort nach einem falschen Passwort deutlich verzögert. Auf diese Weise werden Brute-Force-Attacken verlangsamt, auch wenn eine IP nur 3 Login-Versuche macht.

Gibt es irgendeine Möglichkeit z.b. gesendete Mails eines Mail Users zu counten und bei überschreiten eines Limits pro Stunde, diesem Mailuser den Zugriff auf das Mailsystem zu blockieren?

Am besten mit einem Policy-Server. Die verbreitesten Kanditaten sind hier meines Wissens nach postfwd und policyd.

[fulltilt]

das ganze läuft unter imscp mit courier als backend ...
policyd ist ebenfalls installiert, gibts dazu irgendwo mehr Infos oder ein Howto wie das interne limiting umgesetzt wird mit policyd?
Auf der Entwicklerseite gibts dazu leider keine weiteren Details ...

[Dimejo]

das ganze läuft unter imscp mit courier als backend ...
policyd ist ebenfalls installiert, gibts dazu irgendwo mehr Infos oder ein Howto wie das interne limiting umgesetzt wird mit policyd?
Auf der Entwicklerseite gibts dazu leider keine weiteren Details ...

http://wiki.policyd.org/accounting

[fulltilt]

Danke, ich bin ein Penner hab das vorhin übersehen
ich denke mit 500 Emails pro Tag sollte das passen ... oder besser pro Stunde limitieren?

Code: Alles auswählen

Policy: Default Outbound Policy
Track: Sender:user@domain
Period: Daily
MessageCountLimit: 500
MessageSizeLimit: <leave blank>
Verdict: REJECT
Data: "Account limit exceeded"

[Dimejo]

Danke, ich bin ein Penner hab das vorhin übersehen
ich denke mit 500 Emails pro Tag sollte das passen ... oder besser pro Stunde limitieren?

Code: Alles auswählen

Policy: Default Outbound Policy
Track: Sender:user@domain
Period: Daily
MessageCountLimit: 500
MessageSizeLimit: <leave blank>
Verdict: REJECT
Data: "Account limit exceeded"

Ich würde hier auf SASLUsername filtern.

Welche Limits sinnvoll sind kann ich Dir nicht wirklich sagen, das hängt von Deinen Benutzern ab. 500 E-Mails pro Tag sind für meinen Geschmack aber schon sehr viel.
Wir haben bei uns mehrere Klassen-Regeln, und setzen Benutzer zuerst immer in die niedrigste Klasse. Wenn ein Benutzer mehr (legitime) E-Mails schreibt als in der niedrigsten Klasse erlaubt wird er in die nächst höhere Klasse verschoben. Da ich policyd nicht wirklich kenne kann ich Dir leider nicht sagen ob sowas mit policyd möglich ist.

In jedem Fall solltest Du testen wie MessageCountLimit berechnet wird. Wenn eine E-Mail an 500 Empfänger nur als 1 E-Mail berechnet wird hilft Dir diese Regel nämlich nicht viel. Die Dokumentation von policyd ist diesbezüglich nicht gerade aufschlussreich .