Nachteil statischer IPs von WAN-Adressen.

Arno

Seit einiger Zeit bemerke ich bei etlichen Kunden Angriffe, die in einem Logfile-Eintrag münden: "recipient rejected".
In Einzelfällen wurde im Takt von zwei Sekunden ein solches Ereignis aufgezeichnet, wobei jedes Mal die getracte Absenderadresse wechselte.
Das Logfile eines einzigen Tages umfasste mehr als 2000 Zeilen.

Wahrscheinlich versuchen die Angreifer vorwiegend nur, den David-Server zum Spam-Versand zu missbrauchen.
Aber klappt das, dann reagieren Zugangsprovider wie T-Online recht rasch mit vorübergehender Sperre der Internet-Verbindung.
Das bedeutet für einen international tätigen Handelsbetrieb während der Sperrzeit einen enormen Umsatzverlust.

Die Angreifer benutzen auffallend oft Adressen, die auf "@noip.com" enden.
Und offensichtlich überwiegen bei den angegriffenen Kunden diejenigen, welche eine statische IP einsetzen.

Fragen:
Sollte unter diesem Aspekt die Empfehlung lauten "Besser ein Internet-Verbindung mit täglich wechselnder dynamischer IP verwenden?"
Oder genügt schon die Verwendung eines sicheren Auth Domain - Passworts?

NoHopeNoFear

bots die versuchen open relay server zu finden... ganz was neues.
ohne statische IP keine MX auf dem server und nur pop3 gegurke. ist ein halbwegs sicheres smtp kennwort vergeben und kein relay ohne kw zulässig ist das kein problem.
sollte dir als experten doch eigentlich bekannt sein?

wer es dazu kommen lässt das mail server als spam relay missbraucht werden dem gebührt auch der zorn der kunden vollkommen zu recht.
schade ist allerdings dass david außer greylisting keine weiteren methoden zur vermeidung von harvest attackst unterstützt.... verzögertes smtp greeting würde in 90% der fälle schon ausreichen.

kingcopy

Die Zugriffe können durch sperren des Ports von aussen bzw , Verweigerung des Router NAT unterbunden werden.

Weiterhin kann der Zugriff über VPN funktionieren.

Wir haben andauernd diese Einträge, manchmal bis zu 20.000 aus China , schlimm ist, das David für jeden Versuch einen Eintrag generiert, man könnte Quasi das System Flooden.

Ich habe desswegen eine Überwachung geschrieben der die Anzahl der Einträge auf Zeit überwacht, wenn eine bestimmt Anzahl in einer bestimmten Zeit generiert werden, nimmt sich der POSTMAN vom Netz, DH die Anfragen "DDoS" werden nicht mehr beantwortet.

Weiterhin wird 15 Min gewartet bis sich der POSTMAN wieder hochfährt. Zwischenzeitlich werden die Einträge bereinigt. Dann fängt die Zählerei wieder von vorne an.

Generell fehlen in David solche Flood preventionen.
In der Vergangenheit ,vor der Loop detection, hatten wir schonmal eine Autoreply dich sich 10 Millionen mal autoreplyt hatte
und vor nicht allzulanger Zeit hatte ich eine Wiedervorlage, die sich 20 Millionen mal wiedervorgelegt hatte, bis die Dienste gestoppt und das User Postfach manuell eliminiert wurde.

Wären die Server nicht von mir konstruierte, äusserst robuste Ausführungen, mit Mindestens 16 Kernen und einem 10 Fach Raid 6 gewesen. Wären die Dateisysteme schon zerfallen.

tmitter

Solche Angriffe können durch eine gute Hardware Firewall gefiltert werden, welche die Mails dann an den Tobit Server weiterleitet.
Die Sophos UTMs sind da eine ganz gute Wahl.
So wird der Tobit Server erst gar nicht bombardiert.

citab

Zitat von tmitter

Solche Angriffe können durch eine gute Hardware Firewall gefiltert werden, welche die Mails dann an den Tobit Server weiterleitet.
Die Sophos UTMs sind da eine ganz gute Wahl.
So wird der Tobit Server erst gar nicht bombardiert.

Wir empfehlen in solchen Fällen entweder Sophos UTM oder RZ-basierter SMTP-Relay, der auch gleichzeitig AV-Filter und Archivierung erledigt.
Kostet nur EUR 10/Monat und somit sind die professionellen und sicheren Vorzüge von SMTP erhalten.
Auch der Traffic auf der Internet-Anbindung wird reduziert.

Jetzt mitmachen!