IP-Adressen bannen, die von außen versuchen, den Securepoint SMTP Dienst zu nutzen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
it-technik
Beiträge: 3
Registriert: Di 06.07.2021, 09:49

IP-Adressen bannen, die von außen versuchen, den Securepoint SMTP Dienst zu nutzen

Beitrag von it-technik »

Hallo Community. Das ist mein erster Post. Ich habe ein kleines Problem, das schnell gelöst werden muss. Das Securepoint IPS meldet täglich per Mail Verbindungsversuche diverser IP-Adressen (vermutlich Bots) auf den Securepoint SMTP Dienst. Das Securepoint IPS sperrt die Adressen dann eine Stunde aus (3600s), danach gehen die Angriffe weiter. Leider habe ich es noch nicht geschafft, eine Regel zu finden, die es mir ermöglicht, diese IP-Adressen VOR DEM ZUGRIFF auf den SMTP Dienst zu blocken. Wo müsste ich hier eingreifen?


Vorab schonmal vielen Dank für die Hilfe!

kennethj
Beiträge: 325
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

unter Firewall -> Portfilter -> Netzwerkobjekte müssen die zu blockenden IP - Adressen / IP - Subnetze anelegt werden.
Am besten legen Sie auch gleich noch eine Gruppe an und fügen alle Objekte dieser Gruppe hinzu.

Danach im Portfilter eine neue Regel erstelle:
Quelle: SMTP-Block (bzw hier den Namen ihrer angelegten Gruppe einfügen)
Ziel: external-interface ( bei mehreren Leitungen das Auswählen auf dem die IP vom MX zeigt)
Dienst: smtp
Aktion: Recject

Speichern und die Regel am besten ganz nach oben an erster Stelle setzen. Fertig!

Gruß

Kenneth

Benutzeravatar
Mario
Securepoint
Beiträge: 447
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ich moechte noch etwas hinzufuegen: Bitte pruefen, ob in den Gruppenberechtigungen der Firewall nirgendwo der "Mailrelay Benutzer" als Berechtigung freigegeben ist. Diese Berechtigung wird normalerweise nicht benoetigt und sollte auf Grund der Tatsache, dass die Angreifer hier Logins ausprobieren, auf jeden Fall deaktiviert sein. Diese Berechtigung ist nur noetig, wenn man sich direkt als Nutzer am Mailrelay der Firewall authentifizieren moechte.

Man kann bei Bedarf auch den Timeout fuer die Sperrung im IDS fuer "smtp" auf den Maximalwert hoch setzen > 4294968
Rise from your grave!

it-technik
Beiträge: 3
Registriert: Di 06.07.2021, 09:49

Beitrag von it-technik »

Hallo Kenneth, hallo Mario, vielen Dank für eure Rückmeldungen und Tipps. Dann schaue ich mal was bei unserer Firewall konfiguriert ist. Die IP-Adressen sind schon in einer Gruppe "Gesperrte IPs", die Zuordnung zu den Diensten fehlt offensichtlich noch. Ich melde mich noch mit Erfolg oder Misserfolg bei der Konfiguration. Bis dahin!

it-technik
Beiträge: 3
Registriert: Di 06.07.2021, 09:49

Beitrag von it-technik »

Hallo, der "Mailrelay Benutzer ist nicht als Berechtigung freigegeben, die Idee mit dem Timeout ist gut, vermutlich kommen dann andere Bots "zu Hilfe" mit anderen IPs. Wir haben auch den Vorschlag von kennethj implementiert, leider werden die IP-Adressen beim Zugriff auf den SMTP Dienst immer noch nicht abgewiesen (REJECT), das IPS Bans (spf2bd) Subsystem sperrt die IPs dann wieder für eine gewisse Zeit (3600 Sekunden oder mehr), danach kann die IP es wieder probieren. Wir haben auch versucht, eine andere "Zone" festzulegen, in der die gesperrte IP-Adresse hinterlegt ist, ohne Erfolg. Was könnte man noch ausprobieren?

Benutzeravatar
Mario
Securepoint
Beiträge: 447
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Wie haben Sie denn die Netzwerkobjekte angelegt?

Unter Umstaenden reicht es auch, wenn diese Adressen fuer ueber einen Monat gesperrt werden. Das Netzwerkobjekt muss in der Zone liegen, wo ihr externes Interface anliegt. Falls Sie mehrere Internetzugaenge haben muessen diese Objekte dann auch jeweils fuer jede Zone angelegt werden.
Rise from your grave!

kennethj
Beiträge: 325
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

steht die REJECT Regel an erster Stelle und ist in dieser Regel auch das Logging aktiviert?

Gruß

Antworten