userpferd
Anmeldungsdatum: 20. April 2021
Beiträge: Zähle...
|
Hallo zusammen, ich bin neu hier und das ist meine erste Frage. Ich versuche mich an alle Regeln zu halten. Ich hab vorher auch gesucht. Es geht um folgendes: Ich hab einen einen Email Server auf Ubunutu 20.04 Basis. So ziemlich nach der Anleitung von Thomas Leister mit Postfix,Dovecot,Mysql,Amavis,Spamassassin,Razor,Pyzor und Opendkim. Jetzt seh ich seit geraumer Zeit im Logfile, dass von mir selbst aus (von meiner IP aus) immer wieder anfragen von usern kommen, die es gar nicht gibt. Wo ist denn aus euerer Sicht anzufangen mit dem Suchen? evtl. bin ich Opfer eines Angriffs. Ich hab mir schon überlegt die User anzulegen die es nicht gibt, sodass dann immer das Passwort dann eben nicht stimmt, aber das würde den Angreifern vermutlich in die Hände spielen.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
userpferd schrieb: Jetzt seh ich seit geraumer Zeit im Logfile, dass von mir selbst aus (von meiner IP aus) immer wieder anfragen von usern kommen, die es gar nicht gibt.
Bitte zeig die konkreten Logs aus denen das hervorgeht.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Jetzt seh ich seit geraumer Zeit im Logfile, dass von mir selbst aus (von meiner IP aus) immer wieder anfragen von usern kommen, die es gar nicht gibt.
Also die versuchen mit deinem Server Mails zu verschicken und sich dort per SMTP zu authentisieren? SMTP ohne Authentisierung würde ich gänzlich deaktivieren.
Können sich Personen per SSH/Telnet einloggen?
Die können dann lokal (mit der IP vom eigenen Server) den SMTP-Server ansprechen.
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
hier wäre ein ausschnitt aus meinem log:
ich hab die ip-adresse durch x.x.x.x ersetzt
ich weiß nicht ob man das hier braucht Apr 18 08:53:25 mail dovecot: imap-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<mabler>, method=PLAIN, rip=x.x.x.x, lip=192.168.178.117, TLS: Connection closed, session=<w3xJqznAdOkFCgO5>
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Wie ist die IP vom Server?
rip könnte remote IP sein, lip local IP.
Das sind zudem private IPv4-Adressen, ergo muss es eine Portweiterleitung mit NAT geben, wenn das aus dem Internet kommt. Auch ein Netzwerksniffer wie Wireshark könnte Auskunft geben.
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
@DJKuhpisse:
ja natürlich ist SSH Login erlaubt, sonst könnte ich mich ja gar nicht einloggen.
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
@DJKuhpisse: ja, die rip ist die remote ip adresse, aber auch gleichzeitig meine unter der der server läuft. Das ist ja das seltsame. Eine Anfrage von intern: sehr gruselig
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Nur für deinen User (kann man einschränken)? Wie gesagt, nimm mal den Wireshark und schneide die Pakete mit, dann siehst du die Quell-IP.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
userpferd schrieb: @DJKuhpisse: ja, die rip ist die remote ip adresse, aber auch gleichzeitig meine unter der der server läuft. Das ist ja das seltsame. Eine Anfrage von intern: sehr gruselig
Ist das die gleiche wie die lip?
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
@DJKuhpisse. nein, die rip ist die ip-adresse mit der der server im internet steht. die lip dürfte ja jedem egal sein
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
@DJKuhpisse: ich installier mir gerade wireshark. aber ich muss alles mit konsole machen, da ich keinen grafischen Login habe. no x-server installed
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Dann eventuell remote capture machen. Den Wireshark könnte man aber auch per X11-Forwarding bei SSH machen.
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
so, wireshark ist drauf. mit welchen optionen füttere ich ihn in der konsole?
wireshark braucht x-server, tshark nicht, deswegen installierte ich auch noch diesen. dieser kann aber mein network device nicht monitoren. ich komm vom regen in die traufe.
eigentlich wollte ich .logfiles lesen. welches wäre da interessant?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Du kannst mal nach smtp filter, da sollten dann die Pakete erscheinen. Ggf. mit and verknüpfen und die Quell-IP angeben, um zu sehen, ob das wirklich so ist wie du denkst.
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
also ich mach das jetzt über einen andern rechner, aber mann mann mann ist bei mir traffic. mal sehen ob ich mit den filtern zurecht komm
|