Wie das versenden von Massenmails verhindern

  • Hi,
    am Sonntag ist es wieder passiert.
    Über ein gehacktes Kundenkonto wurden tausende Mails versendet. Ergebnis, der Server stand auf der Blacklist.
    Wie kann man das verhindern? Über die Ratelimits von Postfix scheint es mir nicht wirklich effektiv zu sein.

  • You should use fail2ban to block failed login attempts (dovecot, postfix, roundcube) and postfwd to limit outgoing (incoming) e-mails ...

    e.g.

    Code
    1. nano /etc/postfix/postfwd.cf
    2. # limit sasl authenticated user 150 emails 60 minutes
    3. id=R002
    4. sasl_username=~/./
    5. action=rate(sasl_username/150/3600/REJECT 4.7.1 - message rate limit exceeded.)
    6. # any other
    7. id=ratelimit006
    8. sender=~/.*/
    9. action=rate(recipient_domain/150/3600/REJECT 4.7.1 - message rate limit exceeded.)
  • You should use fail2ban to block failed login attempts (dovecot, postfix, roundcube) and postfwd to limit outgoing (incoming) e-mails ...

    e.g.

    Code
    1. nano /etc/postfix/postfwd.cf
    2. # limit sasl authenticated user 150 emails 60 minutes
    3. id=R002
    4. sasl_username=~/./
    5. action=rate(sasl_username/150/3600/REJECT 4.7.1 - message rate limit exceeded.)
    6. # any other
    7. id=ratelimit006
    8. sender=~/.*/
    9. action=rate(recipient_domain/150/3600/REJECT 4.7.1 - message rate limit exceeded.)

    Das hilft leider in keiner Weise vor einem gehackten eMail-Account.


    Ist mir auch schon mal passiert, ein email-Account eines Kunden war gehackt, und darüber wurde SPAM versandt.


    Hat mich auch ne Weile gekostet die IP wieder clean zu bekommen :(

  • Wenn die Zugangsdaten irgendwo in einem externen Emailaccount abgefischt wurden kann man nichts tun (ausser in den Logindaten darauf hinweisen diese nicht in Email Postfächern aufzuheben).

    Fail2ban blockiert Fehl Logins, wenn es agressive Attacken sind muß die Fail rate entsprechend gering eingestellt werden. Postfwd sorgt dafür das nicht tausende Emails auf einmal rausgehen, ausserdem kann man ein Monitoring (mailqueue limit trigger) einsetzen z.b. mit Zabbix etc.