4
Eigenen RBL Dienst im LAN betreiben
Hallo,
habe folgende Idee um meinen Mailserver zu schützen:
Der Mailserver wird hinter einer Firewal betrieben und die Emails werden direkt zugestelt und versendet.
Die Firewall kann eingehende Mails anhand von RBL prüfen und die Verbindung beenden, wenn Absender in RBL gefunden. Diese Funktion der Firewal nutze ich aber nicht, da der Mailserver das selbst tut.
Nun werden mir im Log des Mailservers ständig Einbruchsversuche von externen IP-Adressen angezeigt (Anmeldeversuche, ...).
Jetzt habe ich die Idee, diese IP-Adressen aus dem Log in eine RBL zu schieben (alle 2 Minuten) und in der Firewal diese eigene Liste als RBL abzufragen.
Damit könnte ich die Einbruchsversuche nach kurzer Zeit an der Firewal blocken.
Nun die Frage, mit welchem System (RBL Server) könnte ich das, am besten unter Ubuntu, umsetzen?
Die Daten in die RBL zu schieben ist nicht das Problem (geht bestimmt per Scripting ...). Was ich suche ist ein RBL Server.
vG
LS
habe folgende Idee um meinen Mailserver zu schützen:
Der Mailserver wird hinter einer Firewal betrieben und die Emails werden direkt zugestelt und versendet.
Die Firewall kann eingehende Mails anhand von RBL prüfen und die Verbindung beenden, wenn Absender in RBL gefunden. Diese Funktion der Firewal nutze ich aber nicht, da der Mailserver das selbst tut.
Nun werden mir im Log des Mailservers ständig Einbruchsversuche von externen IP-Adressen angezeigt (Anmeldeversuche, ...).
Jetzt habe ich die Idee, diese IP-Adressen aus dem Log in eine RBL zu schieben (alle 2 Minuten) und in der Firewal diese eigene Liste als RBL abzufragen.
Damit könnte ich die Einbruchsversuche nach kurzer Zeit an der Firewal blocken.
Nun die Frage, mit welchem System (RBL Server) könnte ich das, am besten unter Ubuntu, umsetzen?
Die Daten in die RBL zu schieben ist nicht das Problem (geht bestimmt per Scripting ...). Was ich suche ist ein RBL Server.
vG
LS
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 315523
Url: https://administrator.de/contentid/315523
Printed on: April 25, 2024 at 10:04 o'clock
4 Comments
Latest comment
Moin,
Wir nutzen neben den Proxy auch bei Tarpitting. Wird eine Mail abgelehnt wird die IP-Adresse für 60 Minuten automatisch geblockt. Somit kommt nicht mehr viel durch... Parallel dazu blocken wir seit ca. einem Jahr auf der Firewall komplette AS von bestimmten Providern auf der Welt. Meist dann, wenn auf Abuse Reports keine Rückmeldung erfolgt. Damit ist das Grundrauschen bei uns ziemlich überschaubar.
Gruß,
Dani
Nun werden mir im Log des Mailservers ständig Einbruchsversuche von externen IP-Adressen angezeigt (Anmeldeversuche, ...).
das ist ein Grundrauschen... und völlig normal.Jetzt habe ich die Idee, diese IP-Adressen aus dem Log in eine RBL zu schieben (alle 2 Minuten) und in der Firewal diese eigene Liste als RBL abzufragen. Damit könnte ich die Einbruchsversuche nach kurzer Zeit an der Firewal blocken.
Dafür gibt es eigentlich ein SMTP-Proxy vor dem eigentlich Mailserver(cluster), damit dieser sich um seine eigentlichen Aufgaben konzentieren kann.Wir nutzen neben den Proxy auch bei Tarpitting. Wird eine Mail abgelehnt wird die IP-Adresse für 60 Minuten automatisch geblockt. Somit kommt nicht mehr viel durch... Parallel dazu blocken wir seit ca. einem Jahr auf der Firewall komplette AS von bestimmten Providern auf der Welt. Meist dann, wenn auf Abuse Reports keine Rückmeldung erfolgt. Damit ist das Grundrauschen bei uns ziemlich überschaubar.
Gruß,
Dani
Hallo Dani,
ist mir schon klar mit dem Grundrauschen
mir geht es z.B. um solche Meldungen:
Habe mal ein von einem Tool gelesen, welches aufgrund von solchen Meldungen im Mail-Log entsprechende iptables-regeln automatisch erstellt hat.
Da ich aber nicht die Firewall-Regeln modifizieren will (habe eine SonicWALL), würde ich lieber das Problem über einen eigenen RBL Dienst lösen.
Möchte nun wissen, ob es da etwas für Linux/Ubuntu gibt, den ich dann wie sbl-xbl.spamhaus.org einbinden kann.
vG
LS
ist mir schon klar mit dem Grundrauschen
mir geht es z.B. um solche Meldungen:
SMTP: User media@firma.de doesn't exist. Attempt from IP address 212.118.124.122.
Failed SMTP login from 212.118.124.122 with SASL method LOGIN.
da kommen dann schon mal 4000 Meldungen in 24 Stunden.Failed SMTP login from 212.118.124.122 with SASL method LOGIN.
Habe mal ein von einem Tool gelesen, welches aufgrund von solchen Meldungen im Mail-Log entsprechende iptables-regeln automatisch erstellt hat.
Da ich aber nicht die Firewall-Regeln modifizieren will (habe eine SonicWALL), würde ich lieber das Problem über einen eigenen RBL Dienst lösen.
Möchte nun wissen, ob es da etwas für Linux/Ubuntu gibt, den ich dann wie sbl-xbl.spamhaus.org einbinden kann.
vG
LS
habe da was gefunden: https://blog.cscholz.io/aufbau-einer-eigenen-sbl-spam-blacklist/
werde es mal probieren...
werde es mal probieren...
Du kannst Fail2Ban dafür verwenden.
Dieser durchsucht die ganzen Logs und fügt dieser der Sperrung hinzu.
Dabei kannst du angeben ob der Webserver, FTP; Mail ect mit Überwacht werden soll.
Dazu kannst du aber auch einige Länder anhand der IPs Sperren wodurch du weniger Rauschen in den Logs hast.
Aber in letzter Zeit hat sich es bissel was geändert da Zeitweise kaum Spammails versucht werden zuzustellen.
Seit Samstag ist das Diagramm sehr niedrig als wie sonst....
Dieser durchsucht die ganzen Logs und fügt dieser der Sperrung hinzu.
Dabei kannst du angeben ob der Webserver, FTP; Mail ect mit Überwacht werden soll.
Dazu kannst du aber auch einige Länder anhand der IPs Sperren wodurch du weniger Rauschen in den Logs hast.
Aber in letzter Zeit hat sich es bissel was geändert da Zeitweise kaum Spammails versucht werden zuzustellen.
Seit Samstag ist das Diagramm sehr niedrig als wie sonst....
