• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Nospamproxy - Crowdsec

ITZA

Active member
Hallo,

mal eine Frage in die Runde, wäre es möglich, die Logs an crowdsec einzubinden. Sodass es wie ein fail2ban reagieren kann. Oft sieht man ja das versuche stattfinden, zb smtp pre connections oder relay test, dann könnte man es direkt vor nospamproxy wegblocken mit einer banntime. oder gibt es die Möglichkeit , pre connection mit einer bannzeit zu belegen oder erst gar nicht zu erlauben?

wie macht ihr das an sich? Ips blocken, hilft oft wenig , wenn sie permanent sich ändern , fahrt ihr vorab noch etwas zum filtern?

Grüße und gute Woche
 
Ok, tarpeting , war bisher auf mittel , ich habe es jetzt mal auf hoch gesetzt.

Ich sehe momentan viele versuche , angenommen abe rnicht zugestellt, wo wahrscheinlich probiert wird , ob es die konten gibt usw. da kommen zb 8 versuche, gleiche mail zu anderem konto und werden nicht geblockt. Normalerweise sollte die ip , dann für einen Tag minimum geblockt werden.
Oder sehe ich das falsch an der Stelle?
 
Das Tarpitting verzögert die 500er Fehler-Antworten von NSP um x Sekunden. Das Blocken wird durch die "IP-Block" Funktion an derselben Stelle im Empfangskonnektor sichergestellt. Allerdings auch nicht 1 Tag, sondern lediglich 1 Stunde.
 
Wenn du einen Parser bastelst um direkt aufs SVCLog zu gehen wird das funktionieren.
Alternativ/On-top könntest du auch das Eventlog "Net at Work Mail Gateway - Connections' log parsen und auswerten.
Wie Sören schon geschrieben hat haben wir hier keine Erfahrung mit Crowdsec, ich persönlich hatte auch schon einmal Interesse daran das mit NSP zu testen, aber da fehlt derzeit die Zeit für.

In Zukunft wollen wir hier im NSP nativ die Möglichkeit schaffen eine Art Fail2Ban umsetzen zu können :)


LG
Jan
 
Ein Beispiel:

sdghhdhzttej@gmail ( ist aber keine gmail) kommt von einem rz , gesendet an ein Konto was wir nicht benutzen.
email größe 0 Byte

die Email wurde angenommen aber nicht zugestellt, das ganze in einem rutsch auf 6 Konten, da sollte doch eigentlich die IP gesperrt werden, bei solchen versuchen oder?

wenn man es zb mit crowdsec verheiraten könnte, dann würde dieses ip geblockt werden und auch für andere gemeldet.
 
Idealerweise stellst du den NSP schon darauf um nur für Benutzer des Unternehmens anzunehmen, dann wird direkt permanent abgewiesen =)

Ein Block wäre natürlich schön, kann aber in der Konfiguration auch fälschlicherweise zu einem IP Block führen.
 
checke ich sofort. mit dem parser für crowdsec werde ich mir mal anscheun. Ich werde auch dort anfragen ob sie einen parsen eventuell bereitstellen. wäre da von eurer Seite interesse vorhanden, als Alternative zu den fail2ban Plänen , euerseits.
 
Die beschränkung auf Unternehmensbenutzer ist unter "Konfiguration -> Regeln" zu finden.
In jeder Regel gibt es den Reiter "Bereich" und dort gibt es ganz oben den Abschnitt in welchem beschrieben wird, von wo nach wo die Regel greift.
Hier gibt es dann die Option "Eine E-Mail Adresse des Unternehmens":

1718013016770.png

Am CrowdSec wäre ich natürlich interessiert, meine Testumgebung freut sich immer um neue Spielereien :p
 
ok, da mus sich dann wirklich jede adresse reinschreiben , auch alias? wenn ich eine gruppe aus dem ad benutzte , würde dann dort der alias mitzählen?
 
Dem NSP muss jede Adresse bekannt sein, bitte keine Liste in der Regel pflegen, das wäre unnötiger Aufwand :)
Wenn ein Benutzerimport existiert ist der Großteil bereits erschlagen und es müssen ggf. nur wenige Adressen manuell angelegt werden weil diese kein Postfach im Exchange haben =)
 
da mus sich noch einmal nachhaken.

Also AD benutzer werden vom nsp, auf macnhen ist ein alias im Ad .

Also muss ich in der Regel jetzt unter:

Der empfänger entspricht Muster:

jeweils immer eine email des entsprechenden Kontos hinzufügen oder kann ich die Person an sich hinzufügen, weil NSP sie ja kennt durch den Import?
 
Zurück
Oben