Kategorien-Archiv Blog

postfix ignoriert Einträge in alias Datei

Heute hatten wir einen „lustigen“ Fehler. Neue Einträge in die Postfix-Alias Datei wurden nach einem postalias bzw. newaliases umgehend erkannt, aber ein spezieller Eintrag wurde ignoriert.

Postfix-Neustart und Ähnliches brachte keine Änderung.

Beim Restart fiel auf, dass Postfix ein Problem mit der verify_cache DB hatte.

Sep 13 16:42:34 mail01 postfix/verify[22858]: close database /var/lib/postfix/verify_cache.db: No such file or directory (possible Berkeley DB bug)

Ein setzen von address_verify_map = btree:$data_directory/verify_cache_new

in main.cf und neustart von Postfix, hat scheinbar die DB „bereinigt“. Ab dann war der neue alias auch greifbar.

Zum debugging ganz hilfreich:

postmap -vs btree:/var/lib/postfix/verify_cache

Zeigte in unserem Fall auch, dass hier ein völlig veralteter und fauler Eintrag war.

Wie sieht ein Hackerangriff per E-Mail als Bewerbung getarnt aus?

Wir suchen aktuell Unterstützung im Büro und haben dies via Facebook angekündigt. Prompt – zwei Tage später – erhielten wir eine E-Mail in folgender Aufmachung:

Ein aussagekräftiges Foto wurde mitgeschickt.  Das Anschreiben ist ebenso fehlerfrei. Via Google Bilder-Rückwärtssuche zeigt sich, dass es sich hier um ein zufällig ausgewähltes Bild handelt – in diesem Fall von einer Studentin aus München, die Ihr Bild bei Linkedin hinterlegt hat. Also richtiges Bild für falsche Person missbraucht.

Der Anhang der Datei heißt

Nadine Bachert – Bewerbungsunterlagen – 29.08.2018.zip

Eine Zip-Datei mit folgendem Inhalt:

Nadine Bachert – Bewerbung – 29.08.2018 – Copy.exe
Nadine Bachert – Bewerbung – 29.08.2018.exe

Hier hat der Hacker entweder irrtümlich oder bewusst, die Datei doppelt abgelegt (Copy).

Durch den englischen Zusatz „Copy‘ lässt sich ableiten, dass der Absender ein nicht deutsches Betriebssystem verwendet oder absichtlich verschleiert hier.

Aktuell erkennen lediglich sehr wenige Virenscanner diese Art trojanisches Pferd. (Stand 28.08.2018 – 11/50).

Analysieren wir die eigentliche e-Mail weiter, können wir noch folgendes erkennen:

Ursprünglich an uns verschickt, wurde sie von der IP-Adresse 212.86.108.85

Received: from [212.86.108.85] (helo=arbeitsmail.com)

diese ist laut Ripe einer Firma ON-LINE DATA LTD auf den Seychellen zugeordnet – vermutlich hier aber auch nur ein Zwischenpunkt, zur Verschleierung.

Vermutlich verwendet wurde als Absendesystem ein Apple-Gerät:

Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2104\))
X-Mailer: Apple Mail (2.2104)

Auch dies kann jedoch eine Nebelkerze sein.

Die E-Mail Domain (arbeitsmail.com) selbst (die vermutlich aber auch nur gefälscht ist) kann einem russischen Anbieter in Novosibirsk zugeordnet werden.

 

Was lernen wir daraus?

Augen auf beim Umgang mit Bewerbungen.

Keine ausführbaren Dateien in Bewerbungen öffnen / anklicken.

Im Zweifel – eigenen IT-Dienstleister um Vorab-Prüfung bitten.

Proxmox Mail Gateway 5 Überblick mit DKIM, TLS, pre smtp filtering

Proxmox Mail Gateway (PMG) ist als OpenSource Appliance verfügbar und deshalb kostenlos. Kostenpflichtiger Support ist verfügbar.

Es lassen sich mehrere Knoten zu einem Cluster verbinden. Durch den Einsatz gängiger OpenSource Tools, kann über die Konsole das System ergänzt / erweitert werden.

Die Grundfunktionen von e-Mail Empfang und Zustellung funktionieren damit einwandfrei. Aus meiner Sicht hat PMG jedoch eine konzeptionelle Fehlentscheidungen beim Design gemacht. Zusätzlich fehlen wichtige Funktionen in der grafischen Oberfläche. Hier die Details:

• keine Viren- oder Spam-Checks im SMTP-Dialog möglich. Mails werden angenommen, geprüft und dann verworfen oder markiert / zugestellt

Dies sorgt für unnötigen Ressourcenverbrauch, man ist – speziell als Provider – haftbar für Mails, die man einmal angenommen hat und dann bei Spam/Viren nicht zustellt und der Absender wiegt sich in Sicherheit, dass seine E-Mail akzeptiert und somit zugestellt wurde. PMG bietet die Möglichkeit, den Absender per E-Mail zu informieren. Hierdurch wird PMG selbst zum Spammer, wenn gefälschte Absenderadressen zum Einsatz kommen und man an diese antwortet.

Gängige Praxis ist hier, Mails noch im SMTP-Dialog zu prüfen und bei Spam/Viren gar nicht erst anzunehmen. Eine erneute Benachrichtigung an den Absender ist nicht nötig – seine E-Mail wird abgelehnt und er erhält von seinem Mailserver die Unzustellbarkeitsmeldung.

• Keine Erzwingung von TLS möglich – ausgehend wird nur TLS gesprochen, wenn es die Gegenseite unterstützt.

Viele kommerzielle Lösungen bieten hier eine Option, zu bestimmten Empfängern TLS zu erzwingen. Speziell bei der DSGVO ist die in manchen Branchen bzw. bei Kommunikationsbeziehungen zwingend nötig.

• Keine ausgehenden DKIM-Signaturen möglich

Zum Schutz ausgehender E-Mails vor Manipulation existiert DKIM. Leider aktuell nicht über die GUI nutzbar / aktivierbar.

 

Die dazu von uns gemeldeten bzw. bereits existierenden Bugreports beim Hersteller:

https://bugzilla.proxmox.com/show_bug.cgi?id=1886

Update: 17.09.2018 – Der Entwickler zeigt sich bezüglich Vorab-Prüfung uneinsichtig und markiert den Bug als WONTFIX. Somit scheidet PMG gänzlich für unsere Kunden aus.

https://bugzilla.proxmox.com/show_bug.cgi?id=1887

https://bugzilla.proxmox.com/show_bug.cgi?id=1654

 

Kopano – öffentlichen Ordner löschen / Remove public store

root@ucs:~# kopano-admin –unhook-store Everyone –type group
The selected option is deprecated in this utility.
Forwarding call to: `kopano-storeadm -h default: -Dn Everyone -t group`.
The store has been unhooked.
Store GUID is 8b017d679a774dfe84665d0abd7e4533