Bericht door: hansiedown op 29 januari 2016, 19:16:25
Grafiek: disconnect from unknown
aantal meldingen per ip nummer van: postfix/smtpd disconnect from unknown
Dit is per ip nummer het aantal connecties/poging tot connective wat is voorgekomen per ipnummer.
In de grafiek is uitsluitend meer dan 50 pogingen opgenomen.
Grafiek: SLIBUserRealNameGet failed
Aantal meldingen van met wel account met heft gepoogd mail te versturen.
Aantal voorkomende namen > 40
Instellingen Synology:
Autoblock na 5 pogingen in 1 uur
Email staat blokkeer IPnr's uiteraard ook aan.
Echter dit zijn (voor zover ik weet) pogingen op niveau van telnet naar poort 25 en deze worden niet gedetecteerd.
Uiteraard staat poort 25 open vanaf buiten.
Bericht door: Hutje op 29 januari 2016, 21:17:41
Die dan gauw maar dicht zetten.....dat is ook vragen om ellende !
Bericht door: Tim__ op 29 januari 2016, 21:47:59
Bericht door: Handige Harry op 29 januari 2016, 21:50:29
Ts kan wel aangeven in de firewall dat sommige landen wel of geen toegang hebben tot poort 25.
Bericht door: Tim__ op 29 januari 2016, 22:04:52
Bericht door: Handige Harry op 29 januari 2016, 22:09:33
Bericht door: Briolet op 29 januari 2016, 22:11:31
Code: [Selecteer]
Jan 29 16:33:43 GedeeldeData postfix/smtpd[29177]: postfix: SLIBUserRealNameGet(user=riolet) failedOp de mac valt bij mij altijd de eerste letter van de accountnaam weg. Dat gebeurd zowel met hoofd- als kleine letters als eerste. En met Apple mail als met Outlook 2011.
Gelukkig probeert hij na deze error de "sasl_method=LOGIN" om te authenticeren en kan ik toch mail versturen.
Bij alle externe hackpogingen vallen er geen letters weg. Ik denk dat er bij mij per jaar zo'n 2000 "SLIBUserRealNameGet" errors in het log komen waarvan de helft een "hackpoging".
Bericht door: Briolet op 29 januari 2016, 22:13:08
Bericht door: Handige Harry op 29 januari 2016, 22:19:37
Stel hij word veel uit china 'gehacked' , probeer China eens te blokkeren.
Bericht door: Hutje op 29 januari 2016, 22:26:05
OK maar dan kan je thuis geen mailserver met draaien hé...SORRY !
Ik ben in de war met poortje 22....telnet !
:lol: :lol: :lol:
Bericht door: Pippin op 29 januari 2016, 22:32:58
Telnet 23 ;-)
Bericht door: Briolet op 29 januari 2016, 23:06:33
Daarnaast zet je limiet van het aantal dagelijkse mailtjes zo laag mogelijk. b.v. 20 voor alle gebruikers en een wat hoger aantal voor specifieke gebruikers die wel veel mailen. Als er dan toch een gebruiker slordig is met zijn wachtwoorden en zijn account wordt gehacked, dan kan een spammer toch niet veel spam versturen.
Bericht door: Handige Harry op 29 januari 2016, 23:14:16
Maar ts heeft een vraag, en die probeer ik te beantwoorden.
Of het de beste manier is , geen idee, maar proberen kan altijd.
Het instellen van een maximaal versturen van mailtjes is een goede tip, dit was ik net aan het typen. Maar je was me voor
Bericht door: Robert Koopman op 29 januari 2016, 23:53:59
Oostenrijk, ken ik niemand, dus in de blokkade.
Al mijn kennissen met een UPC adres konden mij niet meer mailen, server stond in Oostenrijk ;D
In mail server kan je de uitgaande mailtjes per gebruiker begrenzen.
Ben je ooit gehackt dan kan dat nog een redding zijn.
Krijgen ze nooit meer mail weg dan wat daar staat.
Bericht door: hansiedown op 30 januari 2016, 12:16:09
(don't shoot de messenger)
Mijn postfixlog bestand is inmiddels >148.000 regels groot.
Het enige wat ik gedaan heb is deze uitgefilterd (via een klein scriptje) en grafisch zichtbaar gemaakt via excel.
Ik denk dat als ik via mijn scriptje de postfix log bestand van anderen analyseer ik identieke resultaten verkrijg.
Wil dit graag eens testen, wie wil mij zijn bestand sturen?
Grafiek: disconnect from unknown
Deze meldingen zijn uitsluitend zichtbaar in het postfixlog bestand.
Deze meldingen triggeren geen 'ipnr blocked bij email' deze heb ik slechts een 10 tal keer ontvangen in de afgelopen periode.
Of (de hoeveelheid) meldingen een probleem is of een aanwijzing voor een probleem?
Ik heb geen idee.
Vindt het wel 'ongewenst'.
Ik zie hier ipnr's van over de hele wereld, sterker nog sommige meldingen zijn verspreid over ip nr's van een complete subnet.
In de grafiek wordt het uitsluitend 'inzichterlijker'.
Grafiek: SLIBUserRealNameGet failed
Laat netjes zien wat de meest gebruikte accounts zijn waarvan men verwacht dat deze 'raadbaar' zijn.
Leuk om te weten welke account namen je dus beslist niet moet gebruiken.
Tref daar ook inlog pogingen aan met onkiese engelse namen, waarna de inlog pogingen stoppen.
Zou het leuk vinden als iemand bereid zou zijn om mijn vbscriptje (20 regels) om te zetten naar iets wat te gebruiken is een DSM app of website.
Daar moet dan wel nog aan toegevoegd worden maak een grafiek (is nu excel).
Hierna kan dan elk willekeurig unix logbestand 'inzichtelijk' gemaakt worden.
Iemand belangstelling?
Hans
Bericht door: Erwin1 op 30 januari 2016, 20:45:02
[Mod edit: komische typo]
Bericht door: hansiedown op 30 januari 2016, 20:50:17
Conform: http://www.postfix.org/postconf.5.html en http://www.postfix.org/TUNING_README.html
In /volume1//@appstore/MailServer/etc/master.cf
De volgende regels expliciet toegevoegd onder regel: 25 inet n - n - - smtpd
-o smtpd_error_sleep_time=30
-o smtpd_soft_error_limit=10
-o smtpd_hard_error_limit=20
Hierna een:
/volume1/@appstore/MailServer/sbin/postfix stop
/volume1/@appstore/MailServer/sbin/postfix start
Nu over een maandje opnieuw meten of er veranderingen zijn.
De functie postscreen (http://www.postfix.org/POSTSCREEN_README.html) heb ik nog niet geimplementeert.
In deze functie zit een mogelijkheid tot het blacklisten van ipnummers.
De mailserver = version 2.9.3
Dus dat zou tot de mogelijkheden moeten behoren.
Ben benieuwd.....
Bericht door: hansiedown op 31 januari 2016, 13:35:58
Hierbij het vbscriptje wat ik gebruik om de statistieken te maken.
1. Maak een export van van je postfix logs (dus niet de HTML) vanuit Mail Log
2. Bewaar dit in bijvoorbeeld c:\temp
3. Copieer mijn scriptje en sla dit op als bijvoorbeeld statsMail.vbs (moet de extensie .vbs zijn)
4. Pas het scriptje aan dat deze verwijst naar de juiste folders (InputFolder= en OutputFolder = ) en naar de juiste bestandsnaam (LocPostFixFile = )
5. Scriptje uitvoeren
6. Output copieren naar excel en hiervan je grafiekjes maken.
Code: [Selecteer]
'*********************************
'* Autur: Hans
'* Script voor het uitlezen van postfix bestand en hieruit een analyze te maken.
'* Versie 0.1
'* Datum 29 jan 2016
'*********************************
Dim LocPostFixFile, DicIPNummers, DicloginNames, fso, postfixfile, EvaluateLine, Ipnr, loginname, MyArray
Dim Outputfile, OutputFolder, InputFolder
LocPostFixFile = "maillog" 'naam van het prostfixbestand.
InputFolder = "c:\temp\" 'Folder waar je postfixbestand is opgeslagen
OutputFolder = "c:\temp\" 'Folder waar je output moet worden opgeslagen
Set DicIPNummers = CreateObject("Scripting.Dictionary") 'lekker makkelijk hoef ik geen Array te gebruiken
Set DicloginNames = CreateObject("Scripting.Dictionary") 'lekker makkelijk hoef ik geen Array te gebruiken
Set fso = CreateObject("Scripting.FileSystemObject") 'voor het openen en wegschrijven van bestanden
'Open logfile
Set postfixfile = fso.OpenTextFile(InputFolder & LocPostFixFile, 1) 'open postfixfile for reading en geef het een logische naam
Do Until postfixfile.AtEndOfStream 'uitlezen tot het einde van het bestand
EvaluateLine = postfixfile.ReadLine 'lees de regel van het bestand.
'indien disconnect from unknown[ <-> ] dan registreer ip nr en tel de aantallen
If (InStr(1,EvaluateLine,"disconnect from unknown[",1)) > 0 Then 'zoek opdracht gevonden
MyArray = Split(EvaluateLine, "[", -1,1) 'opdelen in groepjes met als scheidingsteken [
'Ipnr = Replace(EvaluateLine,"disconnect from unknown[", "") 'Verwijderen tekst: van disconnect from unknown[
Ipnr = Replace(MyArray(2),"]", "") 'Verwijderen tekst: ] van het derde groepje
If DicIPNummers.Exists(Ipnr) Then 'controleren of IPnr al voorkomt
DicIPNummers.Item(Ipnr) = DicIPNummers.Item(Ipnr) + 1 'eentje erbij tellen
Else 'komt niet voor dus een nieuwe entery aanmaken
DicIPNummers.Add Ipnr,1 'nieuwe registratie toevoegen
End If
End If
'indien postfix: SLIBUserRealNameGet(user= <-> ) failed registreer naam + aantallen
If (InStr(1,EvaluateLine,"postfix: SLIBUserRealNameGet(user=",1)) > 0 Then 'zoek opdracht gevonden
MyArray = Split(EvaluateLine, "=", -1,1) 'opdelen in groepjes met als scheidingsteken =
'loginname = Replace(EvaluateLine,"postfix: SLIBUserRealNameGet(user=", "") 'Verwijderen tekst: van disconnect from unknown[
loginname = Replace(MyArray(1),") failed", "") 'Verwijderen tekst: ]
If DicloginNames.Exists(loginname) Then 'controleren of IPnr al voorkomt
DicloginNames.Item(loginname) = DicloginNames.Item(loginname) + 1 'eentje erbij tellen
Else 'komt niet voor dus een nieuwe entery aanmaken
DicloginNames.Add loginname,1 'nieuwe registratie toevoegen
End If
End If
Loop
'Schrijf bestand weg met geregistreerde ipnr's
colkeys = DicIPNummers.Keys
Set Outputfile = fso.CreateTextFile(OutputFolder & "IPnrStats.txt",True)
For Each strKey in colkeys
Outputfile.WriteLine strKey & vbTab & DicIPNummers.Item(strKey)
Next
Wscript.Echo "Ipnummers statistieken zijn opgeslagen in " & OutputFolder & "IPnrStats.txt"
'Schrijf bestand weg met geregistreerde login namen en aantallen
colkeys = DicloginNames.Keys
Set Outputfile = fso.CreateTextFile(OutputFolder & "LoginStats.txt",TRUE)
For Each strKey in colkeys
Outputfile.WriteLine strKey & vbTab & DicloginNames.Item(strKey)
Next
Wscript.Echo "gebruikte loginnamen statistieken zijn opgeslagen in " & OutputFolder & "IPnrStats.txt"
Wscript.Echo "script is klaar"
Bericht door: Erwin1 op 31 januari 2016, 14:21:23
Die kan dat dus niet aan :lol:
Bericht door: hansiedown op 31 januari 2016, 15:57:36
Vandaar ook mijn oproep om hulp om dit om te zetten naar een 'Synology' script taaltje.
Bericht door: Erwin1 op 31 januari 2016, 17:18:49
Ik krijg alleen een foutmelding als ik het scripje wil draaien. Hij kan het bestand niet vinden, in regel 20..?
Ik heb de maillog als .log opgeslagen op het bureaublad, en het scripje heb ik daar ook staan. Ik heb de input, en output aangepast naar de locatie waar ze nu staan..
Wat is dit?
Bericht door: Birdy op 31 januari 2016, 17:42:28
Bericht door: Erwin1 op 31 januari 2016, 17:55:13
Bericht door: Birdy op 31 januari 2016, 17:58:16
Code: [Selecteer]
Set Outputfile = fso.CreateTextFile(OutputFolder & "IPnrStats.txt",True)
Bericht door: Erwin1 op 31 januari 2016, 18:58:27
Bericht door: hansiedown op 31 januari 2016, 21:42:30
Ik krijg alleen een foutmelding als ik het scripje wil draaien. Hij kan het bestand niet vinden, in regel 20..?Edwin,
Ik heb de maillog als .log opgeslagen op het bureaublad, en het scripje heb ik daar ook staan. Ik heb de input, en output aangepast naar de locatie waar ze nu staan..
De regel: LocPostFixFile = "maillog" 'naam van het prostfixbestand.
Dien je de tekst tussen quotjes aan te passen met maillog.log of de naam van het input bestand aanpassen zonder de extensie .log
In regel 20 opent het script het bestand nl met de exacte naam zoals vermeld in LocPostFixFile
Er worden 2 bestanden aangemaakt: IPnrStats.txt en LoginStats.txt
Het eerste is een overzicht van welk IP nummer hoe vaak heeft proberen in te loggen.
Het tweede van welke inlog namen hoe vaak gebruikt zijn.
Bericht door: hansiedown op 31 januari 2016, 21:46:25
In /volume1//@appstore/MailServer/etc/master.cf
De volgende regels expliciet toegevoegd onder regel: 25 inet n - n - - smtpd
-o smtpd_error_sleep_time=30
-o smtpd_soft_error_limit=10
-o smtpd_hard_error_limit=20
Nieuwe meldingen in het postfix logbestand:
Jan 31 12:52:56 opa postfix/smtpd[4991]: fatal: watchdog timeout
Jan 31 12:52:57 opa postfix/master[6897]: warning: process /var/packages/MailServer/target/libexec/smtpd pid 4991 exit status 1
Jan 31 12:52:57 opa postfix/master[6897]: warning: /var/packages/MailServer/target/libexec/smtpd: bad command startup -- throttling
Dit kan uiteraard een toevalstreffer zijn of relatie te hebben met mijn aanpassing.
Bericht door: Briolet op 31 januari 2016, 21:51:59
Code: [Selecteer]
Nov 16 07:26:45 GedeeldeData postfix/smtpd[16827]: fatal: watchdog timeout
Nov 16 07:26:46 GedeeldeData postfix/master[31686]: warning: process /var/packages/MailServer/target/libexec/smtpd pid 16827 exit status 1
Nov 16 07:26:46 GedeeldeData postfix/master[31686]: warning: /var/packages/MailServer/target/libexec/smtpd: bad command startup -- throttling
Gezien de tijdcode is er geen verband met eerdere of latere log regels.
Bericht door: Erwin1 op 01 februari 2016, 11:23:41
[attach=1]
[attach=2]
Bericht door: Basalt op 01 februari 2016, 20:30:11
(en het is Auteur, niet Autur :lol:)
Bericht door: hansiedown op 01 februari 2016, 20:35:52
Zal mijn script door de 'spellings' controle halen.
Voor mij het belangrijkste, wat is het resultaat van anderen? Of ben ik de enige welke zo ontzettend populair is?
(Kan ook zijn dat niemand dit eigenlijk zelf wil weten)