Jde vypsat obsah paketu? - vyreseno

rimi · 2020-03-26T23:01:13+00:00

Zdravim, mailserver schovany za mikrotikem porad nekdo obstastnuje hadanim hesel, chtel bych odchozi pakety prohlizet a hledat v nich neco jako "Access deni...

rimi

hapi
Jak jsem psal, server nerozdava bany podle IP, ale globalne.

rimi

Abych to uopresnil, na mikrotiku je v podminkach filtru neco jako "obsahuje text", tam jsem chtel zadat texty, ktere vraci mail server a rozdavat blokace

dacesilian

rimi Já třeba blokuji hned po prvním pokusu v případě, že člověk pošle heslo "password" nebo tak něco, je to dost časté. Ale to nic moc neřeší, jiných možností je taky plno..

rimi

dacesilian
No tohle taky neumim na firewallu najit.

Ted je treba v logu tohle:
[27/Mar/2020 20:29:03] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:29:09] SMTP: User usr@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:29:15] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:29:16] SMTP: User adhamabd@nase-domena.cz doesn't exist. Attempt from IP address 45.142.195.2.
[27/Mar/2020 20:29:22] Failed SMTP login from 45.142.195.2
[27/Mar/2020 20:29:25] SMTP: User valid@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:29:31] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:29:37] SMTP: User valid@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:29:39] SMTP: User goldie@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.66.
[27/Mar/2020 20:29:43] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:29:45] Failed SMTP login from ip-38-66.zervdns
[27/Mar/2020 20:29:52] SMTP: User vampire@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:29:58] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:30:04] SMTP: User vampire@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:30:05] SMTP: User adhara@nase-domena.cz doesn't exist. Attempt from IP address 45.142.195.2.
[27/Mar/2020 20:30:10] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:30:11] Failed SMTP login from 45.142.195.2
[27/Mar/2020 20:30:19] SMTP: User vhost@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:30:25] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:30:32] SMTP: User vhost@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:30:37] SMTP: User cassie@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.66.
[27/Mar/2020 20:30:38] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:30:43] Failed SMTP login from ip-38-66.zervdns
[27/Mar/2020 20:30:47] SMTP: User village@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:30:53] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:30:54] SMTP: User adi@nase-domena.cz doesn't exist. Attempt from IP address 45.142.195.2.
[27/Mar/2020 20:30:59] SMTP: User village@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:31:00] Failed SMTP login from 45.142.195.2
[27/Mar/2020 20:31:05] Failed SMTP login from ip-38-50.zervdns
[27/Mar/2020 20:31:14] SMTP: User viper@nase-domena.cz doesn't exist. Attempt from IP address 92.118.38.50.
[27/Mar/2020 20:31:20] Failed SMTP login from ip-38-50.zervdns

rsaf

rimi No potiz je takova: server je stare KERIO

Vidis to, kde je potiz uz vis, tak zacni zde.

rimi

rsaf
Hlavni potiz jsou finance (obor firmy sluzby pro zemedelce - bez jakychkoli dotaci) a tusim nova verze by ohledne zabezpeceni prinesla navic nejakou kontrolu slozitosti hesel (a moznost platit rocni predlatne za veci, ktery tento stary ma nafurt).

Mikrotik to jiste umi, tak sem chtel zacit tu.

iTomB

rimi Vsak se to da porad resit jednoduse ... Ti tvi klienti se pripojuji z nejakych adres, ktere se zas tak moc menit nebudou. Takze pridej whitelist, kdyz jedno spojeni da vice dat (regulerni zaslani emailu), tak dej do whitelistu. Pak jen detekuj pocty pokusu a kdyz to nekdo zkousi, tak blokace na mikrotiku ... Regulerni klient ma vetsinou vse zadane a chybne heslo se tam neobjevi, pujde rovnou do whitelist 😉

hapi

vykašlal bych se na to a koupil u wedosu mail hosting za pár kaček a vyřešeno. S jakým problémem přijdeš příště až ti staré kerio nezvládne nové featury?

rsaf

a pokud to mermomocí chtějí on-premises tak třeba free verzi poste.io

jcltm

rsaf To vypadá dobře, ale free verze je jen pro osobní užití...

rimi

tak to funguje, uplne jsem zapomel, ze kerio ma DEBUG.
jde to nejak takto:
/ip firewall filter
add action=log chain=forward comment=\
"pokus hledat v odchozich paketech" content="535 5.7.0" log=yes \
log-prefix="535 5.7.0" protocol=tcp src-address=vnitrni_ip_server

iTomB

rimi No to bude nejvice narocna detekce ..., pokud ti bude stacit vykon, tak asi ok.

rsaf

jcltm Netvrdím, že je to správně, ale zmínka o personal use je jen v ceníku. V licenčním ujednání o tom není ani zmínka. Je to český produkt, s autorem se dá spojit, v celku komunikuje, dá se dohodnout na lepší ceně s fakturou v CZK...

rsaf

Pokud už taková prasečina musí existovat, omezil bych ten filtr ještě na port 25 (proč tlačit do inspekce i ostatní provoz, žeano). Jinak v dnešní době nemá smtp s autentizací na portu 25 co dělat (to by mělo být na portech 465 / 587)

Další stránka »