Mailserver mit fail2ban vor Angriffen schützen
Fail2ban ist ein Programm mit dem Sie ihren Mailserver vor ungewollten Angriffen schützen können. Sollten Ihnen in den Logdateien Ihres Mailservers ungewöhnliche Einträge auffallen, handeln Sie sofort und schützen Sie Ihren Mailserver unmittelbar vor Bruteforce-Attacken. In diesem Artikel beschreiben wir Ihnen die nötigen Schritte, damit Ihr Server nicht Opfer einer Brutforce-Attacke wird. Bruteforce-Attacken sind gezielt ausgeführte Angriffe, die mit der Bruteforce-Methode, also dem massiven ausprobieren von Passwörtern, Hackern den Zugriff auf Ihr Benutzerkonto ermöglichen kann und dieser somit die Gewalt über Ihr E-Mail Postfach oder sogar Ihren Server übernimmt um beispielsweise unseriöse Spam-Emails über diesen zu verschicken.

In den Zeiten von Botnetzen gibt es immer wieder Versuche einzelne E-Mail-Konten oder andere Benutzerkonten zu übernehmen. Diese Versuche werden dann vom Server protokolliert. Im nachfolgenden Beispiel hat ein Bot mehrfach versucht sich mit einem falschen Benutzerpasswort bei dem IMAP-Dienst anzumelden:


Auffälligkeiten in den Mailserver-Logs:

Jan 18 11:46:26 web imapd: Connection, ip=[::ffff:aaa.bbb.ccc.ddd] Jan 18 11:46:26 web imapd: LOGIN FAILED, user=pwrchute, ip=[::ffff:aaa.bbb.ccc.ddd] Jan 18 11:46:26 web imapd: Disconnected, ip=[::ffff:aaa.bbb.ccc.ddd], time=5
Jan 18 11:46:27 web imapd: Connection, ip=[::ffff:aaa.bbb.ccc.ddd] Jan 18 11:46:27 web imapd: LOGIN FAILED, user=pwrchute, ip=[::ffff:aaa.bbb.ccc.ddd] Jan 18 11:46:28 web imapd: Disconnected, ip=[::ffff:aaa.bbb.ccc.ddd], time=5
...
Jan 18 11:46:31 web imapd: Connection, ip=[::ffff:aaa.bbb.ccc.ddd] Jan 18 11:46:32 web imapd: LOGIN FAILED, user=pwrchute, ip=[::ffff:aaa.bbb.ccc.ddd] Jan 18 11:46:32 web imapd: Disconnected, ip=[::ffff:aaa.bbb.ccc.ddd], time=5

Jedes Passwort ist mit einer unbegrenzten Anzahl an Versuchen zu erraten. Da wir an dieser Stelle nicht die Nutzerpasswörter auf ihre Sicherheit prüfen konnten, mussten wir uns hier eine Lösung überlegen, wie wir den Angreifern das Erraten der Passwörter so schwer wie möglich machen können.

(Wir empfehlen grundsätzlich eine verschlüsselte/gesicherte Verbindung zu Mailservern oder anderen Bereichen, in denen Sie sich anmelden oder Zahlungsinformationen hinterlassen)

Die kurzfristige schnelle Lösung, die auch zum kleinen 1×1 der Serveradmins gehört ist die manuelle Lösung über das Tool iptables. An dieser Stelle noch der Hinweis wie Pakete einer IP blockiert werden:

iptables -A INPUT -s aaa.bbb.ccc.ddd -j DROP

Mit diesem Befehl werden alle eingehenden Pakete der IP aaa.bbb.ccc.ddd fallen gelassen und nicht weiter bearbeitet.

Um die Blockierung der IP wieder aufzuheben benötigen wir den folgenden Befehl:

iptables -D INPUT -s 67.158.26.142 -j DROP

Da sich vermutlich kein Administrator die Zeit nehmen möchte, 24/7 die Logdateien zu beobachten, haben wir nach einer Lösung gesucht die ind er Lage ist diese Bots finden und anschließend automatisch aussperrt.

Mit einer kleinen Änderung an der Konfiguration regelt fail2ban dieses „Bannen“ der IP-Adresse automatisch und sorgt so für Entlastung des Servers.

Auf Debian-basierten Systemen ist die Installation schnell über apt-get install erledigt:

apt-get install fail2ban

Durch eine Anpassung der Konfiguration (jail.conf) können wir auch das Mailserver-Protokoll von fail2ban prüfen lassen.

nano /etc/fail2ban/jail.conf

Mit nano ist die Volltextsuche durch Strg+w möglich. Dort suchen wir nach courierauth und passen den Bereich unseren Wünschen an. (Diese Einstellungen hängen von Ihrem Mailserver ab und müssen ggf. angepasst werden)

Exemplarische jail.conf

Nun starten wir noch einmal fail2ban neu

/etc/init.d/fail2ban restart

und schon haben die Angreifer (nur noch) 10 Versuche irgendwelche Benutzernamen+Passwort-Kombinationen auszuprobieren und wir können uns beim Schutz unserer Benutzer ein

Noch ein kleiner Auszug aus dem Logfile mit aktiviertem fail2ban:

2014-01-18 11:46:34,679 fail2ban.actions: WARNING [courierauth] Ban aaa.bbb.ccc.ddd
2014-01-18 11:56:35,362 fail2ban.actions: WARNING [courierauth] Unban aaa.bbb.ccc.ddd

Share This Post:

Browserwerk