Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 6927 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Massenweise Authentifikationsversuche über SMTP

DennisMcLean

Hallo Leute, 

seit ein paar Tagen beschäftigt mich folgendes Problem: 

Über den Live Log "User Authentication Daemon" sehe ich, dass am Tag über hundert Loginversuche über SMTP versucht werden. Ist das normal? Gibt es eine Möglichkeit die IP-Adressen vollständig zu sperren? Ein erfolgreicher Loginversuch über einen bestimmten User hat vor ein paar Tagen  funktioniert und hatte zur Folge, dass tausende Spammails mit unser Absenderkennung verschickt wurden. Anbei ein Auszug aus dem LiveLog. Die User und IP-Adressen sind uns völlig unbekannt. 

Die IP-Adressen 192.168.20 und .21 sind die Domaincontroller. 

2016:08:09-11:54:08 utm aua[24855]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:08 utm aua[24855]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:08 utm aua[24855]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="michael" caller="smtp" reason="DENIED"
2016:08:09-11:54:12 utm aua[25021]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:12 utm aua[25021]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:12 utm aua[25021]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="system" caller="smtp" reason="DENIED"
2016:08:09-11:54:16 utm aua[25031]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:17 utm aua[25031]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:17 utm aua[25031]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="fax" caller="smtp" reason="DENIED"
2016:08:09-11:54:21 utm aua[25038]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:21 utm aua[25038]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:21 utm aua[25038]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="alex" caller="smtp" reason="DENIED"
2016:08:09-11:54:25 utm aua[25066]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:25 utm aua[25066]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:25 utm aua[25066]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="billing" caller="smtp" reason="DENIED"
2016:08:09-11:54:29 utm aua[25074]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:29 utm aua[25074]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:29 utm aua[25074]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="admin" caller="smtp" reason="DENIED"
2016:08:09-11:54:34 utm aua[25089]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:34 utm aua[25089]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:34 utm aua[25089]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="guest" caller="smtp" reason="DENIED"
2016:08:09-11:54:38 utm aua[25107]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:38 utm aua[25107]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:38 utm aua[25107]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="webmaster" caller="smtp" reason="DENIED"
2016:08:09-11:54:42 utm aua[25127]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:42 utm aua[25127]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:42 utm aua[25127]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="user" caller="smtp" reason="DENIED"
2016:08:09-11:54:46 utm aua[25134]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.21 (adirectory)"
2016:08:09-11:54:46 utm aua[25134]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.2.20 (adirectory)"
2016:08:09-11:54:46 utm aua[25134]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="219.84.174.40" host="" user="marketing" caller="smtp" reason="DENIED"
Vielen Dank für alle Tipps und Lösungsvorschläge!


This thread was automatically locked due to age.
  • 0

    Ihr nutzt also SMTP Auth für AD User im SMTP Proxy? Wieso ist das erforderlich? 

  • 0 in reply to K.N.

    Guten Morgen,

    wenn die Funktion deaktiviert wäre, könnten die User aus dem AD doch keine Mails mehr senden...oder? Das Ganze ist nur so eingerichtet worden, dass das gesamte AD die UTM als Smarthost verwenden darf. Man könnte hier noch eine Gruppe erstellen in der nur die User sind, die diese Funktion auch wirklich nutzen. Das Problem der fremden Zugriffe werde ich damit aber wohl auch nicht lösen können. 

    Beste Grüße

  • 0 in reply to DennisMcLean

    Standard ist, dass nach 5 Fehlersuchen eines Userlogins die Quelle für 10 Minuten blockiert wird. 

    Wenn die Szenarien das berücksichtigen, kann dieser Mechanismus nicht greifen. Dann bliebe die Frage nach Passwortstärke und nach IPS.

    Es bleibt aber die Frage nach der Erfordernis. Habt ihr keine(n) internen Mailserver? 

  • 0 in reply to K.N.

    Wo kann ich sehen, dass der Standard (nach 5 Fehlversuchen Quelle für 10 Minuten blocken) aktiviert ist? Kann nämlich nicht, weil weitaus mehr als 5 Fehlversuche von einer IP-Adresse kommen. 

    Einen internen Mailserver haben wir (Exchange) der im Verbund mit der UTM steht. Ist es denn nicht sicherer und einfacher den Mailverkehr über den SMTP Proxy laufen zu lassen? Oder versteh ich da gerade irgendwas falsch? Möchte ja ungerne, dass mir der ganze Mailverkehr zusammenbricht wenn ich authenticated relaying deaktiviere. 

    Danke und Grüße

  • 0 in reply to DennisMcLean

    Okay, also die Zugriffe auf 3 fehlgeschlagene Anmeldungen zu reduzieren habe ich gefunden: Definitions an Users - Authentication Services- Advanced - Block Password Guessing. Der Haken bei SMTP Proxy war nicht gesetzt.

    Bleibt trotzdem noch die Frage ob das Relaying überhaupt notwendig ist...

    Dank und Grüße ! 

  • 0 in reply to DennisMcLean

    Auch wenn bisher keine Antwort mehr kam, möchte ich den Fall auf gelöst setzen. 

    Das Problem lag an der bereits erwähnten Aktivierung des Zugriffs auf den SMTP Proxy fürs gesamte AD. Ich habe das Relaying jetzt herausgenommen, der Exchange ist ja schließlich berechtigt die Mails durch die UTM zu senden. Nachdem der Haken fürs Relaying raus war, haben auch die fremden Zugriffsversuche aufgehört.

    Vielen Dank und Grüße

  • 0 in reply to DennisMcLean

    hi Dennis

    dann würde ich mal das interne AD auf botnet befall überprüfen. es muss ja einen Grund geben warum solche anfragen überhaupt da ankommen.

    vg

    mod

  • 0 in reply to DennisMcLean

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You will want to consult Basic Exchange setup with SMTP Proxy.

    For users outside your LAN, there are then three choices (ordered from most-secure to least) for them to connect to Exchange to send/receive mail:

    1. Configure WAF for Microsoft Exchange Services.
    2. Have them connect via Remote Access.
    3. Create, for example, an A-Record in public DNS for outlook.yourdomain.com pointing to one of your unused public IPs.  Create an Additional Address on the External interface of your UTM with that IP and name it "Outlook."  Inside your LAN, have the same FQDN resolve to the internal IP of Exchange.  Finally, create a NAT rule 'DNAT : Internet -> HTTPS -> External [Outlook] (Address) : to {Exchange}'.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner