Gelöst: Brute Force Angriff

🌐 Non-english support 🇩🇪 Deutsch (german)
21

Ich sehe keinen Relayhost in deiner main.cf: (bei mir ganz am schluss der config)

Wichtig: Formatierung beachten (eckige Klammern).

relayhost=[smtp.example.tld]:587

In generic legst du die Absenderadresse fest bzw. schreibst sie von root@raspberrypi auf die Adresse des Emailkonts auf dem Relay Host / SMTP Server um, den du für den Versand verwendest. Ansonsten kann es sein, dass der SMTP Server die Mails ablehnt.

Beispiel:

root@nextcloudpi absenderadresse@example.tld

In der /etc/aliases definierst du wohin Emails weitergeleitet werden sollen, die von irgendwelchen lokalen Diensten an root oder andere User auf deinem System gesendet werden. Das ist optional. Konfigurierst du es nicht, musst du in den Config Files eines jeden Dienstes, der Benachrichtigungen verschicken soll, (z.B. der Fail2ban config oder apticron etc…) den Empfänger von z.B. “root” auf die Emailadresse umkonfigurieren, an die du die Benachrichtigungen senden willst. Vergisst du das irgendwo, werden die Mails an die lokale Inbox des entsprechenden Users zugestellt, und verlassen somit deinen Server nie.

Meine /etc/aliases:

# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
logcheck: root
myusername: empfänferadresse@domain.tld
root: empfänferadresse@domain.tld
www-data: empfänferadresse@domain.tld

Wenn die Absender- und Empfängeradresse identisch sind, weil du z.B. dein reguläres Emailkonto für den Versand und den Empfang benutzt, trägst du in der /etc/postfix/generic und in der /etc/aliases die selbe Emailadresse ein.

22

@bb77 , ich habe die Änderungen an der generic vorgenommen und die aliases modifiziert. In der generic steht jetzt root@nextcloudpi meine_SMTP_Versandmailadresse.
und in der aliases root: meine_externe_Zielmailadresse. Das sollte passen. Oder?

Die Log:


tail -f /var/log/mail.log
Feb  7 11:40:27 nextcloudpi postfix/tlsmgr[797040]: warning: redirecting the request to postfix-owned data_directory /var/lib/postfix
Feb  7 11:40:27 nextcloudpi postfix/smtp[797039]: Trusted TLS connection established to SMTP_Server:587: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
Feb  7 11:40:27 nextcloudpi postfix/smtp[797039]: EFA78200C9: to=<root@nextcloudpi>, relay=SMTP_Server:587, delay=0.58, delays=0.05/0.06/0.4/0.07, dsn=5.0.0, status=bounced (host SMTP_Server said: 550 relay not permitted (in reply to RCPT TO command))
Feb  7 11:40:27 nextcloudpi postfix/cleanup[797037]: 8C440200CA: message-id=<20230207104027.8C440200CA@nextcloudpi>
Feb  7 11:40:27 nextcloudpi postfix/bounce[797041]: EFA78200C9: sender non-delivery notification: 8C440200CA
Feb  7 11:40:27 nextcloudpi postfix/qmgr[797029]: 8C440200CA: from=<>, size=2189, nrcpt=1 (queue active)
Feb  7 11:40:27 nextcloudpi postfix/qmgr[797029]: EFA78200C9: removed
Feb  7 11:40:27 nextcloudpi postfix/smtp[797039]: Trusted TLS connection established to wp13564981.mailout.server-he.de[80.237.130.118]:587: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
Feb  7 11:40:27 nextcloudpi postfix/smtp[797039]: 8C440200CA: to=<root@nextcloudpi>, relay=SMTP_Server:587, delay=0.38, delays=0.01/0/0.33/0.04, dsn=5.0.0, status=bounced (host SMTP_Server said: 550 relay not permitted (in reply to RCPT TO command))
Feb  7 11:40:27 nextcloudpi postfix/qmgr[797029]: 8C440200CA: removed

Leider immer noch "to=root@nextcloudpi im Log. Als ob er die generic bzw. aliases nicht nutzt. Im Log steht auch TLS, mein Provider favorisiert STARTTLS und dies ist auch in der NC eingetragen.

23

hast du das neue Alias mit dem Befehl newaliases eingelesen/aktiviert und danach den postfix service neu gestartet?

24

@bb77 , ja newaliases und systemctl restart postfix habe ich mehrfach durchgeführt. Das wundert mich halt auch. Bin gerade unterwegs und habe nur Handy.

25

Hmmm. Scheint so als würde er die /etc/aliases ignorieren. Könnte irgendwas mit den myhostname und mydestination Optionen in der main.cf zu tun haben.

Versuch mal folgende Einstellungen:

myhostname = nextcloudpi
mydestination = nextcloudpi
26

Einen Fortschritt kann ich verzeichnen. Im Log steht nun die korrekte to=mailadresse. Allerdings findet man dann auch vom SMTP said: 550 relay not permitted

tail -f /var/log/mail.log
Feb  7 16:49:31 nextcloudpi postfix/bounce[12833]: 854C720241: sender non-delivery notification: 0EC64202E6
Feb  7 16:49:31 nextcloudpi postfix/qmgr[12807]: 0EC64202E6: from=<>, size=2360, nrcpt=1 (queue active)
Feb  7 16:49:31 nextcloudpi postfix/qmgr[12807]: 854C720241: removed
Feb  7 16:49:31 nextcloudpi postfix/cleanup[12829]: 1199620241: message-id=<20230207154931.0EC64202E6@nextcloudpi>
Feb  7 16:49:31 nextcloudpi postfix/local[12831]: 0EC64202E6: to=<root@nextcloudpi>, relay=local, delay=0.02, delays=0.01/0/0/0.01, dsn=2.0.0, status=sent (forwarded as 1199620241)
Feb  7 16:49:31 nextcloudpi postfix/qmgr[12807]: 1199620241: from=<>, size=2483, nrcpt=1 (queue active)
Feb  7 16:49:31 nextcloudpi postfix/qmgr[12807]: 0EC64202E6: removed
Feb  7 16:49:31 nextcloudpi postfix/smtp[12832]: Trusted TLS connection established to SMTP[xx.xxx.xxx.xxx]:587: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
Feb  7 16:49:31 nextcloudpi postfix/smtp[12832]: 1199620241: to=<meine_korrrekte_Empfängeradresse>, orig_to=<root@nextcloudpi>, relay=SMTP[xx.xxx.xxx.xxx]:587, delay=0.46, delays=0.01/0/0.37/0.07, dsn=5.0.0, status=bounced (host SMTP[xx.xxx.xxx.xxx] said: 550 relay not permitted (in reply to RCPT TO command))
Feb  7 16:49:31 nextcloudpi postfix/qmgr[12807]: 1199620241: removed

Warum nimmt der Server die Mail nicht an? Aus der Nextcloud heraus nutze ich dieselben Einstellungen bis auf STARTLS.

Kann es noch am Zertifikat liegen. Unter dem Link findet man Hinweise dazu.

27

Denke ich eher nicht. Die Verbindung kann ja aufgebaut werden.

Für mich sieht es eher so aus, als würde sich Postfix nicht am sendenden Mailserver authentfizieren, bevor es die Mail abschickt. Hast du die folgenden Schritte ausgeführt, als du Postfix eingerichtet hast?

28

Ich glaube in der SASL ev die eckigen Klammern nicht gesetzt zu haben. Die weiteren Schritte habe ich durchgeführt. Ich schaue heute noch nach.

Danke @bb77 .

Thomas

29

Die eckigen Klammern habe ich ersetzt. Im Ergebnis ändert sich nichts said: 550 relay not permitted:

Feb  7 20:37:04 nextcloudpi postfix/smtp[23835]: 0497E202DE: to=<Empfängeradresse>, orig_to=<root@nextcloudpi>, relay=SMTP:587, delay=0.75, delays=0.01/0/0.69/0.06, dsn=5.0.0, status=bounced (host SMTP said: 550 relay not permitted (in reply to RCPT TO command))
Feb  7 20:37:04 nextcloudpi postfix/qmgr[23826]: 0497E202DE: removed

root@nextcloudpi:/home/pi# postconf -nf
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
inet_interfaces = loopback-only
inet_protocols = ipv4
mailbox_size_limit = 0
mydestination = nextcloudpi, $myhostname, localhost.$mydomain, localhost
mydomain = Domain.de
myhostname = $mydomain
mynetworks = 127.0.0.0/8
recipient_delimiter = +
relayhost = [SMTP]:587
smtp_generic_maps = hash:/etc/postfix/generic
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl/passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_loglevel = 1
smtp_tls_security_level = encrypt
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_tls_CApath = /etc/ssl/certs
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes

Das Log vom Provider wäre gut.

30

Habe das mal verglichen mit meiner Config:

Die einzigen Unterschiede, die ich sehe, sind mydestination und myhostname. Dort habe ich die FQDN (Fully Qualified Domain Name) meines Servers drinn.

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
inet_interfaces = loopback-only
inet_protocols = ipv4
mailbox_size_limit = 0
mydestination = cloud.meinedomain.tld
myhostname = cloud.meinedomain.tld
mynetworks = 127.0.0.0/8
recipient_delimiter = +
relayhost = [mail.domain.tld]:587
smtp_generic_maps = hash:/etc/postfix/generic
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl/passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_loglevel = 1
smtp_tls_security_level = encrypt
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_tls_CApath = /etc/ssl/certs
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes

In diesem Zusammenhang habe mit einer kurzen Google Suche auch noch diesen Thread auf Serverfault gefunden, und darin scheint mir vorallem diese Antwort interessant zu sein, welche nicht als Lösung markiert ist.

31

Guten Abend @bb77,

ich habe heute mit dem Provider gesprochen und werde einen neuen Thread zum Thema eröffnen. Ich hoffe, Du bist auch gleich wieder on Board.

Thomas

32

Da fehlt meiner Meinung nach die Absender bei “from=…”.

@bb77:
Sollte die Domain des Absenders nicht auch in “myorigin=…” der main.cf gelistet sein?
Setze ich die Absenderdomain auf die des Postfix-Servers könnte die Mail wegen Spoofing-Verdachts abgelehnt werden.

33

Guten Abend @Mornsgrans,
ich musste einen neuen Thread löschen. Hier sind die aktuellen Daten: Link

Danke. Thomas

34

Hmm stimmt, daran habe ich gar nicht gedacht. Bei mir war der myorigin Eintrag nie nötig, damit es funktioniert, allerdings nutze ich überall die gleiche Domain, sprich die Domain des Nextcloud Servers und die Email Domain, über die gesendet wird, sind bei mir identisch…