Enkele maanden geleden constateerde ik een iets meer dan verdubbeling van het aantal spamberichten op mijn mail server. Het betrof zowel het aantal doorgelaten als het aantal geblokkeerde emails. ik ben nu sinds enkele dagen begonnen met het “tarpitten” (op de WAN router) van TCP connecties uit bepaalde IP ranges in plaats het “droppen” van de connecties (op de mail server met iptables).
Nu was dat kort een goede oplossing en de hoop was dat mijn mailserver door betreffende partijen de volgende keer zou worden overgeslagen omdat dit resources kost aan de kant van de misbruikers. Nu zie ik echter dat het aantal pogingen ver-veertigvoudigd is en de bloklijst meer dan 5000 entries bevat waar het vooheen hooguit 100 waren. Ook het aantal porscans is toegenomen van enkele per week naar 550 in twee dagen.
Ik zit me af te vragen
of ik nu geen ellende over me afgeroepen heb door misbruikers actiever dwars te zitten.
of er anderen zijn met vergelijkbare ervaringen
wat ik nu het beste verder kan ondernemen (want het lijkt er op dat mijn resources beperkter zijn dan die van de misbruikers)
Herkenbaar en helaas hebben de anderen (meet meer) doorgaans meer mogelijkheden of iig “zin” en voor mij één van de redenen (lang geleden) niet zelf meer mijn mail te willen doen.
Iets met handdoek in de ring en vervuilde rommel achter (mij) laten.
Leuk dat iets kan en er dan soms een succesje is maar het kost veel inspanning voor niets. Actief respons geven bij afweren kan idd een uitnodiging zijn dat er meer nog aandacht wordt gelegd. Ik ken(de) mensen die er een sport van maken.
Het beste imo is gewoon niet reageren, dingen naar een zwart gat blazen en op enig moment stopt het.
Ik heb m’n extern bereikbare mailserver in een VPS ondergebracht, samen met de DNS en een kleine zakelijke (zwaar verouderde) website. De firewall rules daar zijn redelijk simpel, DNS, SMTP en HTTP(s) mogen uit de gehele wereld komen, de rest van het verkeer, als het niet van mijn IPv6 blok of het freedom IPv4 adres komt, alleen uit NL. (meer bied ik ook niet aan) Alles wat ik niet toelaat drop ik.
Tarpitten kost mij resources, aangezien de verbinding opengehouden moet worden. Tevens levert het de aanvaller informatie op (er zit ‘iets’ achter het adres). Bij een drop blijft de verzender met een open connectie zonder info of er een connectie mogelijk is. (en aan mijn kant houdt het geen poort in gebruik)
Ik denk dat je ellende op je hebt afgeroepen door de aanvallers de info te geven dat er iets te halen valt.
Tegen spam heb ik overigens de volgende maatregelen genomen:
Greylisting (probeer na 5 min nog maar een keer)
Verschillende checks rond de hostnaam van de zender
(o.a. klopt de HELO naam met de reverse van het ip adres, weet dat ding wie ie zelf is)
SPF, DMARC en DKIM checks
Helaas ben je hier afhankelijk van DNS beheerders die de zone goed beheren… ik heb er al 2 gevonden die het voor elkaar krijgen om de mail van de eigen mailserver als illegaal voor het eigen domein te markeren.
En dan nog komt er wat spam door, maar niet al te veel nu.
Uiteraard heb ik ook alle basismeetregelen genomen: Geen overbodige open poorten op de firewall, SPF en DMARC records zijn correct, de SPF checks worden gedaan, DKIM is actief en ook de checks op inkomende mail worden gedaan etc. etc.
Mijn “probleem” is dat het aantal pogingen drastisch is toegenomen. Het aantal spamberichten wat door komt lijkt iets groter maar daar is mee te leven. Mijn zorgen zijn met name (1) de enorme toename van het aantal inlogpogingen op SMTP/SASL en (2) het gevoel dat ik mikpunt ben geworden van spammers of (andere mispunten).
Het blokkeren zelf is aardig effectief maar voordat een IP adres op de blocklist komt, gaat er ten minste één poging aan vooraf. Van alle mislukte eerste inlogpogingen wordt de bron op de blocklist gezet, alle tweede pogingen worden daardoor geblokkeerd op de router. Toch staat mijn Postfix log vol met mislukte (eerste) pogingen; ik verwachtte dat het er minder zouden worden maar het zijn er juist meer. Dat betekent dat er vanaf veel meer kanten gepoogd wordt in te loggen.
Wat wel interessant is, is dat het aantal ranges vanaf Nederlandse en Duitse (althans volgens whois) VPS-/cloudaanbieders nagenoeg nul is, terwijl die voorheen juist de lijst aanvoerden.
Geen idee welke maatregelen de smtp inlogpogingen verhogen of niet.
Ik gebruik gewoon fail2ban met een lange blokkeertijd na 1 mislukte inlogpoging.
Het aantal meldingen (mailtjes die ik naar mezelf laat sturen door fail2ban) ligt bij mij tussen ongeveer 5 en 10 per dag.
Het aantal meldingen dat mijn mailserver iets zou hebben doorgelaten naar een klant van Microsoft (of al door Microsoft als spam is herkend) is in een jaar tijd nog steeds nul. Dus ik denk dat min postfix+fail2ban setup voorlopig afdoende is.
En in het afgelopen jaar is er welgeteld één mislukte inlogpoging op mijn sshd geweest (die op een alternatieve poort draait). Dat wijst op een portscan om services te ontdekken, en daarvan heb ik de provider van dat ip nummer op de hoogte gebracht.
Dus tot nu toe valt het bij mij alleszins mee.
Yep, fail2ban scheidt iig het kaf van het onkruid en hopelijk koren. Helaas, vraagt dit soort dingen wel weer aandacht.
De vraag is dan of dit, iig als “hobby”, nog leuk is en (semi) zakelijk/professioneel zijn er andere overwegingen.
Ik ken verder situaties waar de aanvaller extreem veel geduld (en andere ip’s) had en er dus ook aandacht moet zijn aan patroonaanvallen. Wat zeker kan helpen is afhankelijk van een toepassing, complete IP-ranges te blokkeren omdat vanuit bepaalde ranges, niets dan ellende is te verwachten.
Iets dat omgekeerd Freedom gebruikers (flink) in de staart kan bijten omdat die (soms) gebruik maakt/moet maken van vervuilde IP-ranges.
Ik gebruik fail2ban voor o.a. ssh inlogpogingen en ik visualiseer de tellertjes in grafana. Het viel me twee weken geleden op (eind augustus) dat het aantal geblokkeerde IPs op ssh zo ver zakte dat ik even ging controleren of een en ander nog wel goed stond ingesteld.
Naar aanleiding van deze discussie even gekeken en inderdaad de afgelopen twee dagen weer een enorme toename.
Het enige wat ik daarmee kan toevoegen is dat je niet de enige bent en dat fail2ban een goed idee is.
Ja, fail2ban is een zeer doeltreffende oplossing. Ik gebruik het ook al jaren. Het verschil met de standaard fail2ban instellingen is dat ik de blokkeerlijkst op de router bijhoud in plaats van in de lokale IPtables.
Aan mijn setup is ook weinig veranderd, behalve dat ik nu heb gekozen voor “tarpitten” in plaats van droppen of nullrouten in de hoop dat mijn mailhost uiteindelijk minder aantrekkelijk zou worden gevonden. Direct na deze aanpassing nam het aantal inlogpogingen vanaf unieke IP adressesn enorm toe, net als het aantal portscans.
Overigens is het aantal portscans (vanaf nog niet-geblokkeerde adressen, uiteraard) vandaag (tot nu toe) 0 en is het aantal inlogpogingen op de SMTP “slechts” een 800. Dat is nog steeds meer dan voorheen maar het lijkt toch af te nemen.
Hier is fail2ban ook al jaren actief. Toch eens uitzoeken hoe ik drop ipv een unreachable terug stuur.
Op de router/firewall hier heb ik nu slechts 5 blocks, op de VPS die als mailrelay staat zijn het er maar 55. Ik vind het meevallen nu. Blocks zijn hier permanent, of minimaal tot de volgende reboot voor een kernel update, dat scheelt wel.