'hack' statistieken

[hansiedown]

Ik heb nu een aantal maanden mailserver actief en ik dacht laat ik de postfixlog eens analyseren.

Grafiek: disconnect from unknown
aantal meldingen per ip nummer van: postfix/smtpd disconnect from unknown
Dit is per ip nummer het aantal connecties/poging tot connective wat is voorgekomen per ipnummer.
In de grafiek is uitsluitend meer dan 50 pogingen opgenomen.

Grafiek: SLIBUserRealNameGet failed
Aantal meldingen van met wel account met heft gepoogd mail te versturen.
Aantal voorkomende namen > 40

Instellingen Synology:
Autoblock  na 5 pogingen in 1 uur
Email staat blokkeer IPnr's uiteraard ook aan.
Echter dit zijn (voor zover ik weet) pogingen op niveau van telnet  naar poort 25 en deze worden niet gedetecteerd.
Uiteraard staat poort 25 open vanaf buiten.

[Hutje]

"Uiteraard staat poort 25 open"
Die dan gauw maar dicht zetten.....dat is ook vragen om ellende !

[Tim__]

OK maar dan kan je thuis geen mailserver meer draaien hé...

[Handige Harry]

Ja hoe wil je anders je mailserver draaien?

Ts kan wel aangeven in de firewall dat sommige landen wel of geen toegang hebben tot poort 25.

[Tim__]

Welke landen zou je dan blokkeren?

[Handige Harry]

Landen waar je van weet waar geen mail vandaan komt voor jou.

[Briolet]

SLIBUserRealNameGet geeft bij mij oom met legale mail altijd eenerror.

Code: [Selecteer]

Jan 29 16:33:43 GedeeldeData postfix/smtpd[29177]: postfix: SLIBUserRealNameGet(user=riolet) failed
Op de mac valt bij mij altijd de eerste letter van de accountnaam weg. Dat gebeurd zowel met hoofd- als kleine letters als eerste. En met Apple mail als met Outlook 2011.
Gelukkig probeert hij na deze error de "sasl_method=LOGIN" om te authenticeren en kan ik toch mail versturen.

Bij alle externe hackpogingen vallen er geen letters weg. Ik denk dat er bij mij per jaar zo'n 2000 "SLIBUserRealNameGet" errors in het log komen waarvan de helft een "hackpoging".

[Briolet]

@Handige Harry: hoe weet je uit welke landen geen mail komt? Mailservers kunnen overal in de wereld staan en niet perse in het land van de verzender.

[Handige Harry]

@Briolet geen idee, proberen kan altijd.
Stel hij word veel uit china 'gehacked' , probeer China eens te blokkeren.

[Hutje]

OK maar dan kan je thuis geen mailserver met draaien hé...

SORRY !
Ik ben in de war met poortje 22....telnet !
 

[Pippin]

Telnet 23  ;-)

[Briolet]

Een landen-blokkade voor de smtp poot is zelden een goed idee. Beter is het om sterke wachtwoorden af te dwingen via de settings. (zelf gebruik je natuurlijk sterke wachtwoorden, maar doen alle gebruikers dat?).

Daarnaast zet je limiet van het aantal dagelijkse mailtjes zo laag mogelijk. b.v. 20 voor alle gebruikers en een wat hoger aantal voor specifieke gebruikers die wel veel mailen. Als er dan toch een gebruiker slordig is met zijn wachtwoorden en zijn account wordt gehacked, dan kan een spammer toch niet veel spam versturen.

[Handige Harry]

@Briolet je hebt gelijk dat het vaak niet handig is.

Maar ts heeft een vraag, en die probeer ik te beantwoorden.

Of het de beste manier is , geen idee, maar proberen kan altijd.

Het instellen van een maximaal versturen van mailtjes is een goede tip, dit was ik net aan het typen. Maar je was me voor

[Robert Koopman]

Heb ook wel eens met wat landen blokken zitten klooien.
Oostenrijk, ken ik niemand, dus in de blokkade.
Al mijn kennissen met een UPC adres konden mij niet meer mailen, server stond in Oostenrijk 

In mail server kan je de uitgaande mailtjes per gebruiker begrenzen.
Ben je ooit gehackt dan kan dat nog een redding zijn.
Krijgen ze nooit meer mail weg dan wat daar staat.

[hansiedown]

Wauw wat een reacties.
(don't shoot de messenger)

Mijn postfixlog bestand is inmiddels >148.000 regels groot.
Het enige wat ik gedaan heb is deze uitgefilterd (via een klein scriptje) en grafisch zichtbaar gemaakt via excel.
Ik denk dat als ik via mijn scriptje de postfix log bestand van anderen analyseer ik identieke resultaten verkrijg.
Wil dit graag eens testen, wie wil mij zijn bestand sturen?

Grafiek: disconnect from unknown
Deze meldingen zijn uitsluitend zichtbaar in het postfixlog bestand.
Deze meldingen triggeren geen 'ipnr blocked bij email' deze heb ik slechts een 10 tal keer ontvangen in de afgelopen periode.
Of (de hoeveelheid) meldingen een probleem is of een aanwijzing voor een probleem?
Ik heb geen idee.
Vindt het wel 'ongewenst'.
Ik zie hier ipnr's van over de hele wereld, sterker nog sommige meldingen zijn verspreid over ip nr's van een complete subnet.
In de grafiek wordt het uitsluitend 'inzichterlijker'.

Grafiek: SLIBUserRealNameGet failed
Laat netjes zien wat de meest gebruikte accounts zijn waarvan men verwacht dat deze 'raadbaar' zijn.
Leuk om te weten welke account namen je dus beslist niet moet gebruiken.
Tref daar ook inlog pogingen aan met onkiese engelse namen, waarna de inlog pogingen stoppen.

Zou het leuk vinden als iemand bereid zou zijn om mijn vbscriptje (20 regels) om te zetten naar iets wat te gebruiken is een DSM app of website.
Daar moet dan wel nog aan toegevoegd worden maak een grafiek (is nu excel).

Hierna kan dan elk willekeurig unix logbestand 'inzichtelijk' gemaakt worden.

Iemand belangstelling?

Hans