Bots und co auf dem Mailserver

[HabNeFritzbox]

Huhu,

auf meinem Mailserver haben inzwischen schon min. 2 Uni´s diverse Scan´s gemacht wegen SSL Zertifikat und TLS Support durchgeführt, und so hunderte bis tausende Zeilen in den Log verursacht durch ständiges verbinden und trennen und testen. Anbei mal ein Auszug:

May 25 00:24:33 Server postfix/smtpd[17655]: connect from ssl-tools.net[91.202.41.201]
postfix/smtpd[17655]: Anonymous TLS connection established from ssl-tools.net[91.202.41.201]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
postfix/smtpd[17658]: connect from ssl-tools.net[91.202.41.201]
postfix/smtpd[17658]: Anonymous TLS connection established from ssl-tools.net[91.202.41.201]: TLSv1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits)
postfix/smtpd[17658]: lost connection after STARTTLS from ssl-tools.net[91.202.41.201]
postfix/smtpd[17658]: disconnect from ssl-tools.net[91.202.41.201]
postfix/smtpd[17655]: lost connection after STARTTLS from ssl-tools.net[91.202.41.201]
postfix/smtpd[17655]: disconnect from ssl-tools.net[91.202.41.201]

postfix/smtpd[27081]: connect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27079]: connect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27079]: SSL_accept error from dnssectest.informatik.fh-muenchen.de[141.39.242.16]: lost connection
postfix/smtpd[27079]: lost connection after CONNECT from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27079]: disconnect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27081]: Anonymous TLS connection established from dnssectest.informatik.fh-muenchen.de[141.39.242.16]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
postfix/smtpd[27081]: lost connection after CONNECT from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27081]: disconnect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27079]: connect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27081]: connect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27170]: connect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27079]: Anonymous TLS connection established from dnssectest.informatik.fh-muenchen.de[141.39.242.16]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
postfix/smtpd[27172]: connect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27172]: SSL_accept error from dnssectest.informatik.fh-muenchen.de[141.39.242.16]: -1
postfix/smtpd[27172]: lost connection after CONNECT from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27172]: disconnect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27081]: Anonymous TLS connection established from dnssectest.informatik.fh-muenchen.de[141.39.242.16]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
postfix/smtpd[27172]: connect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27176]: connect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27081]: lost connection after CONNECT from dnssectest.informatik.fh-muenchen.de[141.39.242.16]
postfix/smtpd[27081]: disconnect from dnssectest.informatik.fh-muenchen.de[141.39.242.16]

Bei den FH in M handelt es sich nach Rückfragen um ein "universitäres Forschungsprojekt" für eine Bachelorarbeit. Und bei der ssl-tool Seite steht, es sei ein Student der Uni Bremen.

Wirklich was veröffentlicht sehe ich davon zumindest nicht an Arbeiten/Projekten, so dass man irgendwelche Erkenntnisse von hat.

Ist sowas nun im Trend dass man neben Scriptkiddis, Bots und co nun noch Studenten hat, die Server mit Anfragen "belasten"?

 

[sparkie]

wo ist das Problem? Wenn du einen eigenen Mailserver (so wie ich) betreibst musst du mit allem fertig werden. Und zwar auf technischer Seite, nicht auf rechtlicher. Wenn du das nichst schaffst, dann hast du ein Problem.

- sparkie

 

[DasTelefon]

Einfach auf 404 umleiten.

 

[HabNeFritzbox]

DasTelefon@ Einfach mal irgendwas schreiben und runde trollen?

 

[koyaanisqatsi]

Keep calm

Wichtig ist vorallem das darüber kein Relay stattfinden kann.
Negativbeispiel: Mercury Mail mit Standardpasswort für den Admin
...den Ärger hatte ich mal, und prompt EMail vom Provider.

 

[johnripper]

Backliste die IPs doch einfach....wobei du grds dafür einen technischen automatismus haben solltest.
Ich weiß schon warum ich keinen eigenen Mailserver (mehr) betreibe und lieber hosten lasse...

 

[HabNeFritzbox]

Scannen diverse Mailserver durch Bots und co

Da die nur Verbindung aufbauen bringt ne DNSBL nichts, wollen ja keine Mails einliefern, damit kann auch keine Mail rejectet werden.

Ich weiß, dass man ja Fail2Ban ect. verwenden kann.

Besonders nervige kommen in Firewall auf die Liste, wenn nur mal so 2, 3 falsche Loginversuche oder so und dann ruhe ist, auch egal.

Ich melde Kram teils auch an entsprechenden Absue Adressen, aber was solls. Kommt eh nur bedingt bei was rum.

Gibt auch so tolle Anbieter die sagen seien nur "Internet Service Provider und Hoster für unmanagement Server" und hätten daher keinen Einfluss auf die Sachen... da setzte ich dann auch schon mal ganz IP Bereiche vom Anbieter in Firewall rein. Anbieter der seinen "Kunden" nicht ermahnen oder sperren kann... schon klar... und bitcoint als Zahlung akzeptieren.

 

[andiling]

Eine Verzögerung der SMTP Begrüßung lässt solche Bots weiterziehen.