Postfix TLS-Fehlermeldungen im Log

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
Falconbase
Beiträge: 178
Registriert: 22.05.2005 19:01:53
Wohnort: Wallersdorf
Kontaktdaten:

Postfix TLS-Fehlermeldungen im Log

Beitrag von Falconbase » 13.11.2013 09:54:08

Hi Ihr,

seit einigen Tagen ist das Postfix-Log bei meinen Mailservern deutlich angeschwollen. Wegen den folgenden Meldungen, hauptsächlich Spammer-Bots. Nun meine Frage kann man Postfach bei bringen diese Meldungen zu unterdrücken?

mail.log:

Code: Alles auswählen

postfix/smtpd[18794]: connect from 200-161-253-89.dsl.telesp.net.br[200.161.253.89]
postfix/smtpd[18794]: Anonymous TLS connection established from 200-161-253-89.dsl.telesp.net.br[200.161.253.89]: TLSv1 with cipher DES-CBC3-SHA (168/168 bits)
postfix/smtpd[18794]: warning: TLS library problem: 18794:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337:
postfix/smtpd[18794]: lost connection after STARTTLS from 200-161-253-89.dsl.telesp.net.br[200.161.253.89]
postfix/smtpd[18794]: disconnect from 200-161-253-89.dsl.telesp.net.br[200.161.253.89]
main.cf

Code: Alles auswählen

smtpd_use_tls = yes
smtpd_tls_cert_file=/etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file=/etc/postfix/ssl/smtpd.key
smtpd_tls_CAfile =/etc/postfix/ssl/cacert.pem
tls_random_source = dev:/dev/urandom
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1
smtpd_tls_exclude_ciphers=aNULL, MD5, DES, RC4
Gruß Falconbase

webmaster@kunesch.net

oz42
Beiträge: 16
Registriert: 21.03.2007 12:13:44

Re: Postfix TLS-Fehlermeldungen im Log

Beitrag von oz42 » 15.11.2013 13:06:05

Würde es helfen, die Dialups draußen zu halten?

blocked_clients.regexp:

Code: Alles auswählen

/my\.own\.dialup-pool\.example\.com/                            DUNNO
/(^|\.|-|internet)(adsl|sdsl|dsl)/                              REJECT dialups are blocked
/(^|\.|-)(cable|client|home|dial|ppp|pool|dhcp|dynami(c|cip))/  REJECT dialups are blocked
und die blocked_clients.regexp dann per smtpd_client_restrictions einbinden.

Benutzeravatar
Falconbase
Beiträge: 178
Registriert: 22.05.2005 19:01:53
Wohnort: Wallersdorf
Kontaktdaten:

Re: Postfix TLS-Fehlermeldungen im Log

Beitrag von Falconbase » 15.11.2013 13:38:34

Hi oz42,

Danke für den Tip.

War schon eine Überlegung jedoch hab ich diese wieder verworfen, es gibt einige Provider die für statische DSL-Anschlüsse kein Reverse-DNS Bearbeitung zulassen, somit würde der Filter auch diese filtern obwohl der Verkehr wieder legitim ist.
Leider bietet Postfix für eingehende SMTP-Verbindung kein smtp_tls_policy_maps an wie für die ausgehenden Verbindungen. :|

Grüße Falconbase
Gruß Falconbase

webmaster@kunesch.net

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Postfix TLS-Fehlermeldungen im Log

Beitrag von rendegast » 15.11.2013 13:59:16

Die (Warn)Meldung beruht ja auf einem vom spam-Bot für Deinen postfix unpassend gewählten Cipher.
Würdest Du DES wieder erlauben, so hättest Du wiederum einfach eine Meldung über einen fehlgeschlagenen
Login (hoffentlich fehlgeschlagen ;) ).
Das Problem mit der Meldung wäre dann ja immer noch da.

Debianfail2ban
falls installiert und eingerichtet sollen ja erstmal fehlgeschlagene Logins (vom selben Ursprung aus)
durch Sperrung dieses Ursprungs verhindert werden.
Die Regex-Templates sind also erstmal in der Art "... fehlerhafter Login ...".
Es spricht ja nichts dagegen, auch einen unpassenden cipher als fehlerhaften Login zu deuten,
entsprechend den Regex erweitern.
Aber leider sehe ich in den fail2ban/filter.d/*.conf erstmal kein Template,
welches eine mehrzeilige Meldung bearbeitet:

Code: Alles auswählen

connect from 200-161-253-89.dsl.telesp.net.br[200.161.253.89]

Anonymous TLS connection established from 200-161-253-89.dsl.telesp.net.br[200.161.253.89]: TLSv1 with cipher DES-CBC3-SHA (168/168 bits)
warning: TLS library problem: 18794:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337:
lost connection after STARTTLS from 200-161-253-89.dsl.telesp.net.br[200.161.253.89]

disconnect from 200-161-253-89.dsl.telesp.net.br[200.161.253.89]
dafür braucht es spezielle regex-Künste?

Bliebe die Option, mit erlaubtem DES eine (hoffentliche) Login-Fehlermeldung zu erhalten,
worauf fail2ban dann gewohnt die Quelle sperrt und dadurch weitere Meldungen unterbindet.
(Darf dabei aber keine allzu verteilte Atacke sein.)
und/oder
Einbindung eines greylist/blacklist-Plugins,
da der Spam-Bot vielleicht nicht nur bei Dir negativ aufgefallen ist.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
Falconbase
Beiträge: 178
Registriert: 22.05.2005 19:01:53
Wohnort: Wallersdorf
Kontaktdaten:

Re: Postfix TLS-Fehlermeldungen im Log

Beitrag von Falconbase » 15.11.2013 14:30:21

Hi rendegast,

aktuell sind die exclude_ciphers komplett aus, nun versuchen die Bots, scheinbar nur ein Bot, via fehlerhaften RC4-MD5 Handshake, andere bekommen damit den Handshake hin.
Momentan muss ich leider damit leben das mir die Drecks-Dinger ein Gigabyte-Log liefern.

Fail2ban wäre möglich, aktuell sperrt es ja die 500-Codes vom Postfix und Login-Versuche via SSH.
Gruß Falconbase

webmaster@kunesch.net

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Postfix TLS-Fehlermeldungen im Log

Beitrag von rendegast » 15.11.2013 15:59:27

Hihi,

Code: Alles auswählen

$ nmap 200.161.253.89 -P0

Starting Nmap 6.00 ( http://nmap.org ) at 2013-11-15 15:54 CET
Nmap scan report for 200-161-253-89.dsl.telesp.net.br (200.161.253.89)
Host is up (0.32s latency).
Not shown: 997 filtered ports
PORT     STATE  SERVICE
22/tcp   closed ssh
1521/tcp open   oracle
3389/tcp open   ms-wbt-server

Nmap done: 1 IP address (1 host up) scanned in 20.54 seconds
Gegenangriff?

Code: Alles auswählen

$ rdesktop 200.161.253.89 -u administrator
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
Falconbase
Beiträge: 178
Registriert: 22.05.2005 19:01:53
Wohnort: Wallersdorf
Kontaktdaten:

Re: Postfix TLS-Fehlermeldungen im Log

Beitrag von Falconbase » 15.11.2013 16:01:32

Hi rendegast,

warum sollte ich den angreifen, wer weiß ob das überhaupt ein Windows-Rechner ist?
Gruß Falconbase

webmaster@kunesch.net

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Postfix TLS-Fehlermeldungen im Log

Beitrag von rendegast » 15.11.2013 16:13:29

... wer weiß ob das überhaupt ein Windows-Rechner ist?
Mensch wird begrüßt vom windows-Login.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
Falconbase
Beiträge: 178
Registriert: 22.05.2005 19:01:53
Wohnort: Wallersdorf
Kontaktdaten:

Re: Postfix TLS-Fehlermeldungen im Log

Beitrag von Falconbase » 15.11.2013 16:15:21

LoL :D
Gruß Falconbase

webmaster@kunesch.net

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Postfix TLS-Fehlermeldungen im Log

Beitrag von pangu » 30.09.2016 08:33:56

H,

auch wenn der Thread etwas älter ist wollte ich noch meinen Senf dazugeben (nein nein, bin kein Leichenschänder :lol: ) Ich habe dasselbe Problem gehabt und konnte es geschickt lösen wie rendegast auch schon vorgeschlagen hatte.

Die entsprechende fail2ban-rule habe ich in wie folgt gesetzt:

In der Datei "/etc/fail2ban/filter.d/postfix.conf" ergänzen

Code: Alles auswählen

^%(__prefix_line)sSSL_accept error from \S+\[<HOST>\]: (-1|lost connection)$
Und wer logcheck noch einsetzt und nicht ständig darüber extra per Email genervt werden will kann das ausblenden. Hierzu habe ich diese regexp-Regel in logcheck eingesetzt, die filtert so ziemlich einiges zu diesem Thema heraus. Kann natürlich noch nach eigenen Wünschen angepasst werden.

In der Datei "/etc/logcheck/ignore.d.server/own" folgende Zeile hinzufügen:
(Anmerkung: ich habe die original Regeldateien in diesem Verzeichnis unberührt gelassen. Alle meine eigenen Regex-Regeln füge ich deshalb in meine eigens erstellte Datei namens "own" hinein. Damit bleibt das übersichtlich und ich bin auch für die nächsten Paketupgrades gerüstet und wundere mich nicht, wenn plötzlich was überschrieben würde)

Code: Alles auswählen

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ postfix\/smtpd\[[[:digit:]]+\]: warning: TLS library problem: error:(1408F10B|140760FC|1408A0C1|140940E5|1408A10B):SSL routines:SSL(23|3)_(READ_BYTES|GET_(RECORD|CLIENT_HELLO)):(wrong version number|unknown protocol|no shared cipher|ssl handshake failure):s(23|3)_(pkt|srvr).c:(348|635|1020|1440|1038):
Vllt. hilft's ja dem einen oder anderen ;)

Grüße
Pangu
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

Antworten