Posts Tagged With 'sasl'

  • Dez
  • 06
  • 2009

Mailserver Howto für Debian

Posted by okami In Mailserver | No Comments »

Nachdem sich Debian immer weiterdreht, habe ich meine  Mail- und Antispamhowtos zusammengefasst und mal auf den aktuellen Stand gebracht. Ich beziehe mich zwar im wesentlichen auf Debian, allerdings dürften abweichend von der Grundinstallation der Pakete, dieses Howto auf jeden anderen Linuxsystem ebenso funktionieren. Als Mailsystem kommen cyrus und postfix zum Einsatz, zur Authentifizierung der saslauthd. Zum Filtern und Virencheck setze ich Amavisd-new, Spamassassin, Razor, DCC und Pyzor ein.

Stand: 06.12.2009

ToDo – List:

- Authentifizierung (unterschiedliche Mechanismen)
- Usermanagement (Ldap)
- Usermanagement (MySQL)
- IMAP Backup

Read More

  • Jun
  • 19
  • 2008

Nerfiges Brute Force

Posted by okami In Howtos | 1 Comment »

Nachdem immer wieder irgendwelche Brutforce Angriffe in meinen Logs aufgetaucht sind, habe ich mich entschlossen prinzipiell etwas dagegen zu unternehmen. Die üblichen Mechanismen root Remotelogins zu verweigern und Portnocking auf bestimmten Diensten sind manchmal einfach nicht umsetzbar …

In früheren Ansätzen habe ich auf iptables zurückgegriffen, hier ein Beispiel für SSH:

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl  --name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60  --hitcount 4 --rttl --name SSH -j DROP

Mitlerweile existieren gute Mechanismen und Tools die es einem sehr einfach ermöglichen, auf solche Angriffe zu reagieren. Ein solches Tool möchte ich hier vorstellen: fail2ban

Fail2Ban ist ein kleines Programm, das Logfiles verschiedenster Programme überwacht und basierend auf Einträgen in den Logfiles Ereignisse auslöst. Es kann sowohl im Hintergrund (als Dämon) als auch im Vordergrund laufen.

Read More

  • Mrz
  • 10
  • 2008

Spambekämpfung mit Postfix unter Debian (Teil2)

Posted by okami In Mailserver | 2 Comments »

Die Version des Artikels ist veraltet, zur aktuellen Version >> hier <<

Ebenso wichtig wie das Einbinden von Filtermechanismen in einen Maildeamon ist das Verhindern, dass man selbst unwissentlich zum Spammer wird. Im Folgenden soll Postfix so abgesichert werden, dass Mails nur mittels einer Authentifizierung via ssl abgeschickt werden können. Da es viele Möglichkeiten der Authentifizierung über SASL gibt (ldap, mysql, pam, sasldb) und alle ihre Eigenheiten besitzen, gehe ich hier nur auf die Authentifizierung gegen die hauseigene Datenbank von SASL ein.

SASL

Simple Authentication and Security Layer (SASL) ist ein Framework, das von verschiedenen Protokollen zur Authentifizierung im Internet verwendet wird. Es wurde im Oktober 1997 als RFC 2222 definiert und im Juni 2006 durch RFC 4422 ersetzt. SASL bietet dem Applikationsprotokoll damit eine standardisierte Möglichkeit der Aushandlung von Kommunikationsparametern. Im Regelfall wird nur eine Authentifizierungsmethode ausgehandelt, es kann aber auch vereinbart werden, dass zuerst auf ein verschlüsseltes Transportprotokoll, wie beispielsweise TLS, gewechselt wird. Die SASL-Implementierungen auf Client- und Server-Seite einigen sich auf ein Verfahren und dieses kann dann von der Applikation transparent benutzt werden. Durch diesen Standard wird die Entwicklung sicherer Applikationsprotokolle wesentlich vereinfacht. Der Entwickler muss lediglich eine bestehende SASL-Implementierung nutzen anstatt ein komplettes Verfahren zur Authentifizierung und Datenverschlüsselung selbst zu implementieren. SASL wird unter anderem benutzt bei SMTP, IMAP, POP3, LDAP und XMPP. Wikipedia

Read More

  • Dez
  • 21
  • 2007

Spambekämpfung mit Postfix unter Debian (Teil1)

Posted by okami In Mailserver | 2 Comments »

Die Version des Artikels ist veraltet, zur aktuellen Version >> hier <<

Im wesentlichen beziehe ich mich auf die Debiandistribution, allerdings dürften abweichend von der Grundinstallation der Pakete, diese Howto auf jeden anderen Linuxsystem ebenso funktionieren. Postfix setze ich installiert und konfiguriert vorraus.

Postfix und Cyrus werden hier lediglich mit einer Grundkonfiguration versorgt. Die Authentifikation erfolgt hier gegen die SASLDB. Eine wesentlich einfacher zu administrierende Installation, für mehrere Domains mit vielen Usern erfolgt später. Hauptaugenmerk im Teil1 ist das Einbinden von Spämbekämfungsmechanismen.

Als erstes installieren wir folgende Pakete:

#>apt-get install spamassassin razor perl pyzor procmail fetchmail postfix amavisd-new cyrus-common-2.2 cyrus-imapd-2.2 cyrus-admin-2.2 sasl2-bin

CURUS

Die Konfiguration des Imap-Daemon geschiet durch das Editieren der /etc/imapd.conf. Das von Debian angelegte File ist vollkommen brauchbar. Es muss allerdings noch mindestens ein Administrator des Daemons festgelegt werden.

Read More

Kategorien