Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
kb [2012/11/15 15:32] flacco [Gegenmaßnahmen] |
kb [2014/03/26 07:49] flacco [Postfix, Amavis & Dovecot] |
||
---|---|---|---|
Zeile 311: | Zeile 311: | ||
Nach 4 Tagen war die Liste der Angreifer bereits über 2000 Einträge lang. | Nach 4 Tagen war die Liste der Angreifer bereits über 2000 Einträge lang. | ||
+ | Die Kombination aus oben gezeigter Firewall-Regel und dem hier vorgestellten Blackhole-Mechanismus lies die ausgehende tägliche Datenmenge des betroffenen Servers wieder auf Normalmaß schrumpfen. Trotzdem war dies nur ein Teilerfolg, da die Firewall-Regel auch reguläre Anfragen blockiert hat. | ||
+ | |||
+ | Die wirklich funktionierende Lösung des Problems brachte ein Patch für //**bind**// von Vernon Shryver und Paul Vixie, der ein per Client Rate-Limiting über die Konfiguration des Nameservers selbst erlaubt. Genau beschrieben wird die Funktionsweise des Patches auf der zugehörigen Internet-Seite: [[http://www.redbarn.org/dns/ratelimits]] | ||
+ | |||
+ | Im Gegensatz zum Firewall-Ansatz, wird hierbei jeder anfragende Client individuell betrachtet. D.h. Bleibt ein Client mit seinen Anfragen unter einer einstellbaren Anzahl pro Sekunde werden alle Anfragen beantwortet, überschreitet er sein Limit, antwortet //**bind**// einfach nicht mehr. | ||
+ | |||
+ | Entsprechend gepatchte //**bind**// Versionen stellen wir über unsere invis-Repositories im OpenBuildService zur Verfügung, auch noch für ältere openSUSE-Versionen (11.1, 11.2 und 11.3). | ||
+ | |||
+ | Die Konfiguration ist denkbar einfach. In der Options-Sektion der Datei "/etc/named.conf" genügt folgender Eintrag: | ||
+ | |||
+ | <code> | ||
+ | options { | ||
+ | ... | ||
+ | rate-limit { | ||
+ | responses-per-second 25; | ||
+ | window 5; | ||
+ | }; | ||
+ | ... | ||
+ | }; | ||
+ | </code> | ||
+ | |||
+ | Näheres zu den Parametern der "rate-limit" Direktive ist auf oben genannter Internet-Seite nachzulesen. | ||
+ | |||
+ | Die Kombination aus Blacklist und Rate-Limit ohne Firewall-Regel funktioniert hervorragend. | ||
===== Postfix, Amavis & Dovecot ===== | ===== Postfix, Amavis & Dovecot ===== | ||
Zeile 316: | Zeile 340: | ||
* Dovecot als SASL-Authentifizierungsbackend für Postfix zu nutzen. | * Dovecot als SASL-Authentifizierungsbackend für Postfix zu nutzen. | ||
- | * Dovecots Deliver als MDA einzusetzen. | + | * Dovecots LMTP-Dienst zur Mail-Einlieferung zu verwenden |
- | * IMAP-ACLs zu ermöglichen. | + | * IMAP-ACLs / Shared Folders zu ermöglichen. |
+ | * Sieve-Filter zu ermöglichen | ||
* Amavis als content_filter zu nutzen. | * Amavis als content_filter zu nutzen. | ||
+ | |||
+ | Das Ganze gilt natürlich nur, wenn kein Zarafa eingesetzt wird. Zarafa integriert den Email-Speicher und Funktionen wie Zugriffsrechte und Filterregeln, kommt also ohne externen IMAP-Server aus. | ||
Die genannten Anforderungen ergeben ein recht komplexes Setup, daher widme ich mich hier den Hintergründen. Zunächst allerdings nur dem Teil der Einlieferung neuer Mails via //**fetchmail**//. | Die genannten Anforderungen ergeben ein recht komplexes Setup, daher widme ich mich hier den Hintergründen. Zunächst allerdings nur dem Teil der Einlieferung neuer Mails via //**fetchmail**//. | ||
Größte Schwierigkeit hierbei ist ein sauberes Mailrouting durch alle Komponenten. Dies beginnt bereits beim Fetchmail-Daemon. Zunächst ein schematischer Überblick über die Wege einer eingehenden Email: | Größte Schwierigkeit hierbei ist ein sauberes Mailrouting durch alle Komponenten. Dies beginnt bereits beim Fetchmail-Daemon. Zunächst ein schematischer Überblick über die Wege einer eingehenden Email: | ||
+ | |||
+ | //**Hinweis:** Die Grafik ist nicht aktuell, der Dovecot Delivery Agent fällt jetzt weg, die Einlieferung erfolgt direkt via LMTP.// | ||
{{:invis-postfix_dovecot.png|Überblick}} | {{:invis-postfix_dovecot.png|Überblick}} | ||
Zeile 531: | Zeile 560: | ||
Alle weiteren Dateien sind logisch unterteilt im Verzeichnis "/etc/dovecot/conf.d" zu finden. | Alle weiteren Dateien sind logisch unterteilt im Verzeichnis "/etc/dovecot/conf.d" zu finden. | ||
+ | ===== ISC DHCP LDAP Schema nach Samba 4 LDAP überführen ===== | ||
+ | Suchen und ersetzen der Attributnamen und Objektklassen: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # cat README.ldap | sed /dhcp[A-Z]/s/dhcp/iscDhcp/g > ad.README.ldap | ||
+ | </code> |