Seit Wochen (3- 4 Wochen) wird meine Mailcow Instanz attackiert mit wahrscheinlich einem Botnet oder tausenden IPs, die IPs ändern sich ständig so das Fail2Ban und Crowdsec kaum wirkung zeigen. Fail2ban habe ich schon auf 1 gestellt so das nach einem Fehlversuch direkt ein ban von 120 min eintritt. Hilft aber nicht da immer neue IPs benutzt werden. Habt ihr da vllt noch Ideen zum blocken? Ich habe an Geoblocking gedacht aber muss noch überlegen wie ich das nur fürs Login verfahren scharf stelle.

Sehr cool @"esackbauer"#2109, die Seite hatte ich noch nicht auf dem Radar! Ich hab mir ein Script gebaut das die IPs via Abuseip API zieht und dann via Mailcow API in Fail2Ban packt. Hier das Script: ```asdfasdf #!/bin/bash curl -G https://api.abuseipdb.com/api/v2/blacklist \ -d confidenceMinimum=90 \ -d plaintext \ -H "Key: YOUR_ABUSEIP_API_KEY" \ -H "Accept: application/json" \ -o /tmp/abuseipdb_blacklist.txt BLACKLIST=$(awk '{if (index($0, ":") > 0) printf "%s%s/128", sep, $0; else printf "%s%s/32", sep, $0; sep=","} END {print ""}' /tmp/abuseipdb_blacklist.txt) cat

Auf was gehen die Los? Welchen Port?

Die Mailcow Instanz ist hinter Traefik geschaltet, Port 587 nehme ich mal an da SASL-Authentifizierungsversuche darüber laufen meines wissens nach. Es wird versucht Login daten zu knacken. Username wird random probiert und das pw dazu. Hier die Log als Screenshot. Meine kompletten Logs sind voll damit. Seit Wochen steht der Mailserver unter Feuer. [upl-image-preview uuid=e3aae94c-41a9-4c0c-b566-7463e59b5299 url=https://community.mailcow.email/assets/files/2025-02-10/1739216770-155142-ssss.png alt={TEXT?}]

Bei meiner Mailcow genau das gleiche seit einer Woche. Sogar die gleichen IPs.

Das sieht mir aber nach einem typischen Grundrauschen aus. In meinem Netfilter-Log seh ich nur noch Warnungen seit ich meine Fail2Ban-Parameter so gesetzt habe: ``` Bannzeit in Sekunden: 86400 Maximale Bannzeit in Sekunden: 604800 Bannzeit erhöht sich mit jedem Bann Max. Versuche: 5 Wiederholungen im Zeitraum von (s): 600 Netzbereich für IPv4-Banns (8-32): / 32 Netzbereich für IPv6-Banns (8-128) : / 128 ``` Und ja, ich sperre einfach gleich mal für 24 Stunden und bis zu 7 Tagen. False-Positives kann ich ja jederzeit händisch herausnehmen. Aber gewöhnt euch daran, es wird nicht weniger, so lästig das ist.

Meine Einstellungen sehen so aus. So klappt das ganz gut: > Bannzeit in Sekunden: 432000 Maximale Bannzeit in Sekunden: 172800 Bannzeit erhöht sich mit jedem Bann Max. Versuche: 2 Wiederholungen im Zeitraum von (s): 1200 Netzbereich für IPv4-Banns (8-32): / 24 Netzbereich für IPv6-Banns (8-128) : / 128

@"Ganzjahresgriller"#p22023 Oha du sperrst gleich ein ganzes /24er aus. Deine Bannzeit ist höher als die maximale Bannzeit oder fehlt da eine oder mehrer Stellen bei der maximalen? Bei mir versuchen Sie es im Moment immer nur einmal, anscheinend lernen die Botbetreiber dazu

Ja, /24 weil ich damit gute Erfahrungen habe Da fehlt eine 0

> @"MaxPain"#p21992 Fail2ban habe ich schon auf 1 gestellt so das nach einem Fehlversuch direkt ein ban von 120 min eintritt. Kann man machen, ist aber imho overkill und erhöht die Gefahr, dass man sich selbst Probleme einhandelt, denn dass man mal irgendwo ein Passwort falsch eingibt, kann ja durchaus vorkommen. 😉 > @"MaxPain"#p21994 Seit Wochen steht der Mailserver unter Feuer. Naja, "unter Feuer" würde ich es erst nennen, wenn du hunderte oder tausende Anmeldeversuche pro Minute siehst. 😉 Auf deinem Screenshot sieht es aber eher so aus, als ob alle paar Minuten ein Versuch stattfindet und sich die vielen hundert oder tausend Versuche wohl eher über mehrere Tage oder Wochen angesammelt haben. Ich würde sagen, was du da siehst ist normal, wenn du irgendwelche Dienste über das Internet zugänglich machst und ich sehe das wie @"itsaw"#924 als normales Grundrauschen und würde mir daher nicht zu viele Gedanken darüber machen. Wie du siehst, macht Fail2Ban ja seinen Job und wenn du halbwegs sichere Passwörter verwendest, kommt da auch niemand rein.

Naja, gegen Fehler beim Tippen hilft ein PW Manager

@"Ganzjahresgriller"#p22034 Ja klar, trotzdem, bringt 1 Fehlversuch vs. z.B. 3 oder 5 Fehlversuche wenig an zusätzlicher Sicherheit, ausser du nutzt `password1` als password, da wäre der Angreifer beim zweiten Versuch drinn. 😉

Massive Bruteforce attacke seit Wochen

DocFraggle

smart Sollte evtl. im Script die Version mit reingeschrieben sein damit dies klar ist?

Hi, ja, könnte man machen, aber am besten direkt via GitHub Tag runterladen

DocFraggle/mailcow-scriptsblob/v2.3/abuseipdb.sh

Zu 2.: Du hast Recht, ich habe jq mit Version 2 rausgeschmissen, das muss noch in den Docs entfernt werden.

Zu 3.: die Anleitung in den Docs ist nach wie vor aktuell, nur das mit jq ist obsolet. Das Script kann man irgendwo hin packen, welchen Sinn macht es denn in der Anleitung einen Pfad anzugeben?

smart

zu 1
dann ggf. mein Vorschlag (falls ich nicht etwas übersehen habe), dass der GitHub Tag auch ins Doc rein kommt?

zu 3
war nur ein Vorschlag.
z.b. weil Dummies es irgendwohin legen (ausserhalb path) und es deswegen nicht automatisch funktioniert.
so wäre es vorgegeben und somit grundlegend funktionell - wer es dann woanders haben möchte, der muss halt wissen was er tut.

wie geschrieben - bitte nicht falsch verstehen.
Ich möchte nur Vorschlagen wie es evtl. ‘Dummies’ sicher gemacht werden könnte…

Freundliche Grüße
Mike

maybl8

Since update to 2025-09 and 09a this error is back. I haven’t changed anything.

[demo@mail iptables]$  sudo /etc/iptables/./abuseipdb.sh --enable-log
Retrieve IPs from AbuseIPDB
Ensure the ipsets exist
Flush existing ipset entries
Process each IP and add it to the appropriate ipset
Ensure iptables/ip6tables rules exist at the top
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.


All done, have fun.

Check your current iplist entries with 'ipset list | less'

DocFraggle

I didn’t update yet, I guess the ipv6 chain is different now due to the changes

EDIT: I updated my mailcow testsystem, I still have the chain “MAILCOW” in my ip6tables output

testcow:/opt/mailcow-dockerized# ip6tables -L | grep Chain
Chain INPUT (policy ACCEPT)
Chain FORWARD (policy DROP)
Chain OUTPUT (policy ACCEPT)
Chain DOCKER (1 references)
Chain DOCKER-BRIDGE (1 references)
Chain DOCKER-CT (1 references)
Chain DOCKER-FORWARD (1 references)
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
Chain DOCKER-ISOLATION-STAGE-2 (1 references)
Chain DOCKER-USER (1 references)
Chain MAILCOW (1 references)

Just ran the script there, works as intended. Maybe don’t run it with sudo but directly as root user

mlcwuser

Leute, warum macht ihr euch das Leben auch so schwer? Netfilter funktioniret doch: Hatte heute etwa 50 Mails in meiner Notifications Inbox, mit IP’s, die geblockt wurden. Nutzt anständige Passwörter, und lasst die Mailcow ihr Ding machen. ;-)

curiosity

Warum macht man sich das Leben dadurch extra schwer? Ich finde gute Passwörter alleine reichen heutzutage nicht mehr aus um einen Server der im Internet steht, abzusichern.
Besser ist es doch die Bösen IPs im Vorfeld zu blockieren, bevor sie den Server belasten mit ihren Scans usw.

Wenn das Skript einmal konfiguriert worden ist und läuft, merkt man davon in der Regel nichts mehr. Hab gestern auch meinen Mailserver (arm64) auf die neue Version geupdatet und bin von Debian bookworm auf das neue trixie geupgraded. Keine Probleme, alles läuft wie vorher. Von daher habe keinerlei Stress mit der zusätzlichen Absicherung des Servers.

mlcwuser

curiosity Wenn das Skript einmal konfiguriert worden ist und läuft, merkt man davon in der Regel nichts mehr

Offenbar ja schon bei einigen, wie man hier sieht 😉

Aber ja, klar kann man das so machen, und ja mein Kommentar war auch irgendwo überflüssig, konnte es aber in diesem Fall nicht lassen. 🤗

curiosity

mlcwuser Offenbar ja schon bei einigen, wie man hier sieht 😉

Naja, wenn man so ein Skript installiert oder generell beim aufsetzen eines Servers, sollte man bestimmte Grund Voraussetzungen im Umgang mit der Console und Befehlen schon haben. Vor allem wenn User bei der Ursachenforschung Unterstützen und helfen, dabei noch die richtigen hinweise geben, dann sollte man diese Schritte auch beherzigen und auch so ausführen. 😉

Aber egal, ich bin mit dem Skript und der zusätzlichen Absicherung zufrieden. Finde es klasse wenn User wie @DocFraggle ihr Wissen hier mit uns teilen.

DocFraggle

mlcwuser Offenbar ja schon bei einigen, wie man hier sieht 😉

Augen auf im Internetverkehr, es war genau EINER der geschrieben hatte, und man weiss nicht mal genau was bei ihm das Problem war 😉
Bei mir läufts nach wie vor 1A, auch nach dem Update

friendsfan

Wirklich tolles Skript, läuft seit heute auf meinem noch sehr neuen Mailcow Server. Dank an @DocFraggle hierfür.

Was mir jetzt aufgefallen ist während ich die Logs angeschaut habe, nach der alten Methode hat Fail2Ban nie gegriffen, weil die Anfragen zu weit auseinander lagen. Der eigentliche Login Versuch war wohl “genug”, um dann beim nächsten Mal die nächste IP für die Abfrage auszulösen.

Jetzt mit der DROP Methode geht das offenbar so schnell, dass dieselbe IP bis zu 3 mal hintereinander versucht wird. Das wiederum hätte, man dann relativ einfach mit einer Verschärfung der Fail2Ban Regeln catchen können.

Das finde ich irgendwie ironisch….ist / war das bei euch auch so?

Ich habe / hatte auch vor Einsatz des neuen Skripts noch keine einzige IP in der Fail2Ban Liste drin. Aber wie gesagt, ist ein noch junger Mailserver (paar Wochen), der nur im privaten Bereich genutzt wird.

DocFraggle

Ich kann Dir leider nicht ganz folgen… mein Script hat rein gar nichts mit Fail2ban zu tun.

Der untere Screenshot ist das iptables Log

friendsfan

DocFraggle

Sorry, da hab ich mich wohl zu kompliziert ausgedrückt. Es ging mir ausschließlich darum, dass “Verhalten” dieses Spammers (81.30.107.0/24) zu vergleichen, wenn er bisher mit Fail2Ban und danach durch dein Skript mit IPtables konfrontiert wurde.

Fail2Ban:

Es erfolgte ein Loginversuch mit einer IP (z. B. 81.30.107.34), dann wurde die nächste ausgepackt (“…..58”).
Somit konnte Fail2Ban niemals irgendeine IP bannen, da immer nur ein Versuch pro IP gestartet wurde und diese dann erst viel später ggfs. erneut verwendet wurde.

IPTables:

Eine IP Adresse versucht es innerhalb kürzester Zeit mehrmals, z. B. die “….189” auf dem Screenshot.

Danach habe ich einfach nur für mich die (sinnlose) Schlussfolgerung gezogen, dass Fail2Ban auch gebannt hätte, wenn der Angreifer es eben auch dort nach einem Login Versuch sofort nochmals mit der selben IP und ggfs. einem anderen Login Namen versucht hätte.

Natürlich sind das grund verschiedene Voraussetzungen (einmal konnte er ja die Verbindung herstellen, bei IPTables wird er einfach gedropt, und dann versucht er es halt mehrmals mit derselben IP.

Diese Einträge hatte ich jedenfalls mehrere Tage in den Logs, aber eben bisher aus den obigen Gründen keinerlei “Reaktion” von Fail2Ban.

DocFraggle

Ach OK, jetzt hab ich’s verstanden 😄

Ich denke die drei iptables Einträge sind simple Retries, evtl auch ICMP Pings bevor die eigentliche Bruteforce Attacke losgeht. Ist leider rechts abgeschnitten, müsstest Du sehen

zx1100e1

Ich spreche kein Deutsch.

I’ve had mixed results with blocklists on the vps. Using ipset for massive blocklists like bitwire-it/ipblocklistblob/main/inbound.txt doesn’t work well. This list has over 3million (3,xxx,xxx) entries. Ipset chokes when trying to import.

Instead, i’ve opted for the more dynamic method of blocking ip’s based on port scans. It still uses iptables via an ipset dataset. The dataset is updated dynamically as port scans occur. Specifically, the top 1000 nmap ports were chosen as targets to trigger the inclusion of the scanning ip.

This is not perfect. Traffic connecting to port 25 only still passes but is then usually caught by postscreen before it ever makes it to rspamd. Still, the quantity of these hits has been significantly reduced.

If there is interest, I will post the scripts im using.

maybl8

I’,m interested.

zx1100e1

There are numerous steps, so I will try to break it down. Some of the dynamic logging/dropping portion of the script was generated by gemini. No love for ai, but it was helpful. I made sure to try to understand each step and adjust as needed for my needs.

Vps detail

Debian trixie installed from iso
6GB ram
5 vcore
100gb storage
public ip

UFW installed and configured to allow the following

full access - home ip/mailcow relay target
172.22.1.0/24 subnet access to host port 25
-
home ip forward to ports 443/587
any ip forward to port 25

#ufw status
To                         Action      From
--                         ------      ----
25/tcp                     ALLOW       172.22.1.0/24
Anywhere                   ALLOW       {HOME IP}

443/tcp                    ALLOW FWD   {HOME IP}
587/tcp                    ALLOW FWD   {HOME IP}
25/tcp                     ALLOW FWD   Anywhere

To get mailcow/docker to work with ufw some additions needed to be made to /etc/ufw/after.rules based onhttps://github.com/chaifeng/ufw-docker?tab=readme-ov-file#solving-ufw-and-docker-issues

Specifically, addition of these lines to the bottom of the file. Note, this is not the final version, some changes were needed to get everything working. I will post the final additions later in this post.

# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j RETURN
-A DOCKER-USER -m conntrack --ctstate INVALID -j DROP
-A DOCKER-USER -i docker0 -o docker0 -j ACCEPT

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 192.168.0.0/16

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER

BACKUP YOUR SYSTEM FIRST!!!! NOT RESPONSIBLE FOR ANY DATA LOSS BY IMPLEMENTING THESE STEPS

Steps of the process.

1) Determine what ports are to be monitored.

I used nnap’s top 1000 ports as a guideline - nmap -oX -

2) Convert output from #1 to 1 port per line, preceded with add ports so output can be directly imported to ipset. This can all probably be combined into a single command. I used copy/paste in ssh. Importing this list is faster than generating it each time from scratch. Be sure to exclude port 25!!!

echo "1,3-4,6-7" | tr ',' '\n' | awk -F'-' '{if($2) for(i=$1;i<=$2;i++) print "add ports " i; else print "add ports " $1}' > 1000topports.ipsetbackup

3) Main script that preloads a number of ip’s from several block lists, sets up the necessary iptables rules, adds whitelisted ip’s from ufw’s allow list, and enables option to log. Same script is run once a day to update the block list from the embedded url’s. This had lots of AI input 🙁.

For ease of readability - https://pastebin.com/iNyX98FC

#!/bin/bash

CMDPATH="/usr/sbin"
SET_NAME="scanners"
PORT_SET="ports"
PORT_FILE="/root/ipset/1000topports.ipsetbackup" # Create this file with one port per line
TIMEOUT=86400  # 24 hours
TMP_RESTORE="/tmp/scanners.txt"
WHITELIST_SET="whitelist"

# 1. Initialize Sets
# The main scanner blacklist
$CMDPATH/ipset create $SET_NAME hash:net timeout $TIMEOUT maxelem 100000 -!
# The temporary swap set
$CMDPATH/ipset create ${SET_NAME}-temp hash:net timeout $TIMEOUT maxelem 100000 -!
# The bait port set (bitmap is more memory efficient for ports 0-65535)
$CMDPATH/ipset create $PORT_SET bitmap:port range 0-65535 -!
$CMDPATH/ipset create whitelist hash:net -!
$CMDPATH/ipset flush $WHITELIST_SET

# 2. Sync Bait Ports from File (High-Performance Restore)
if [[ -f "$PORT_FILE" ]]; then
    {
        echo "flush $PORT_SET"
        cat "$PORT_FILE"
    } | $CMDPATH/ipset restore
    echo "Bait ports restored from $PORT_FILE."
else
    echo "Warning: $PORT_FILE not found."
fi

# 3. Gather External IPs and Format for Restore
echo "Fetching external scanner lists..."
{
    echo "create ${SET_NAME}-temp hash:net timeout $TIMEOUT maxelem 100000 -!"
    echo "flush ${SET_NAME}-temp"

    # BinaryEdge
    /usr/bin/curl -s --connect-timeout 10 https://api.binaryedge.io/v1/minions | jq -r ".scanners[] | \"add ${SET_NAME}-temp \" + ." 2>/dev/null

    #from https://github.com/palinkas-jo-reggelt/List_of_Internet_Scanner_IPs
    /usr/bin/curl -s --connect-timeout 10 https://raw.githubusercontent.com/palinkas-jo-reggelt/List_of_Internet_Scanner_IPs/refs/heads/main/Scanner_IP_ranges.txt |  awk '{print "add '"${SET_NAME}"'-temp " $0}'

    # Static Known Scanners & Research Orgs
    # Formatting these into a loop to generate 'add' commands
    # Censys  ips below https://docs.censys.com/docs/opt-out-of-data-collection
    while read -r cidr; do
        [[ -n "$cidr" && ! "$cidr" =~ ^# ]] && echo "add ${SET_NAME}-temp $cidr"
    done <<EOF
66.132.153.0/24
66.132.159.0/24
66.132.172.0/24
66.132.148.0/24
162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
167.94.138.0/24
199.45.154.0/24
199.45.155.0/24
206.168.32.0/24
206.168.33.0/24
206.168.34.0/24
206.168.35.0/24
EOF
} > "$TMP_RESTORE"

# 4. Load into Temp and Swap
$CMDPATH/ipset flush ${SET_NAME}-temp
$CMDPATH/ipset restore < "$TMP_RESTORE"
$CMDPATH/ipset swap $SET_NAME ${SET_NAME}-temp
$CMDPATH/ipset destroy ${SET_NAME}-temp
rm $TMP_RESTORE

# 5. Ensure Iptables Rules Exist (The Shield and The Trap)

# A. THE LOG: Only trigger if the IP is NOT already in the scanners set
##### 20260203 commented the logging lines below (from if to fi).
#if ! $CMDPATH/iptables -C INPUT -p tcp -m set --match-set $PORT_SET dst -m state --state NEW \
#    -m set ! --match-set $SET_NAME src -j LOG --log-prefix "[HONEYPOT-NEW] " --log-level 4 2>/dev/null; then

#    $CMDPATH/iptables -I INPUT 1 -p tcp -m set --match-set $PORT_SET dst -m state --state NEW \
#    -m set ! --match-set $SET_NAME src -j LOG --log-prefix "[HONEYPOT-NEW] " --log-level 4
#fi

# Catch connections to the bait ports
if ! $CMDPATH/iptables -C INPUT -p tcp -m set --match-set $PORT_SET dst -m state --state NEW -j SET --add-set $SET_NAME src --exist --timeout $TIMEOUT 2>/dev/null; then
    $CMDPATH/iptables -A INPUT -p tcp -m set --match-set $PORT_SET dst -m state --state NEW -j SET --add-set $SET_NAME src --exist --timeout $TIMEOUT
fi

# Final Drop rule for those ports
if ! $CMDPATH/iptables -C INPUT -p tcp -m set --match-set $PORT_SET dst -j DROP 2>/dev/null; then
    $CMDPATH/iptables -A INPUT -p tcp -m set --match-set $PORT_SET dst -j DROP
fi

echo "Sync complete. Blocked: $($CMDPATH/ipset list $SET_NAME | grep -i "Number of entries" | awk '{print $4}')"

4) My final after.rules additions to the default file. Note interface specified for #2.

#docker additions below 20260127 21:31
# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]

# 1. ALWAYS allow existing traffic first (Performance & Stability)
-A DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j RETURN

# 2. THE SHIELD: Block the industrial-scanners set here
-A DOCKER-USER -i ens3 -m set ! --match-set whitelist src -m set --match-set scanners src -j DROP

# 3. Explicitly allow internal Docker-to-Host/Docker-to-Docker
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN


# 3. Your existing logic

-A DOCKER-USER -j ufw-user-forward
-A DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j RETURN
-A DOCKER-USER -m conntrack --ctstate INVALID -j DROP
-A DOCKER-USER -i docker0 -o docker0 -j ACCEPT

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 192.168.0.0/16

-A DOCKER-USER -j RETURN

#-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER

I chose not to enable logging. There’s a ton of internet noise all the time. I suppose if you’re piping the log to something that can give you trends then it might be worthwhile.

After initial priming of the scanners list, you can do ipset list scanners | wc to get a count. It starts around 2700. So anything over that number are new ip’s added to the block list.

Good luck!

maybl8

I am using the abuseipdb.sh script that is documented above in this string of posts.
It generates a blacklist.txt file that gets auto updated every 5 hours.
I was wondering if I could add ip’s to it with your script to get more ip’s blocked.
I do not want to use UFW on my server.

DocFraggle

maybl8 Hi, the default file containing the retrieved IPs is /tmp/abuseipdb_blacklist.txt

You can add your own IPs there after all the AbuseIPDB IPs and run the script with --skip-abuseipdb. This way the script won’t download the list and just process the file.

zx1100e1

@maybl8 I looked at the abuseipdb.sh script. The general premise is to load ip’s from their free blacklist endpoint. This endpoint is limited to 10,000 ip’s with a requested confidence of at least 90%. The 10K cap is a hard limit based on the subscription plan. IMO this amount of ip’s is really not enough - of course something is better than nothing.

The idea I proposed above is to use a dynamic means of blocking scanners and other undesirables trying to probe your server. It is a work in progress as I’ve discovered a bug (and fix) where traffic to ports used by mailcow itself are ignored from the list. Ip’s from traffic hitting those parts are not added to the block list.

I only want port 25 traffic to hit my server from any ip NOT on the whitelist. Without significant hardening, im not comfortable exposing port 80/443 or other traffic to it from the internet at large. For purposes of ACME, dns01 validation is performed elsewhere with the certs pushed over ssh to the server then necessary containers restarted.

The vps does NOT store my cloudflare api token. I’d be more comfortable with the idea if cloudflare allowed token access to be limited only to the email server’s subdomain (mail.domain.com). Rather, the token’s scope is the entire domain.com. If the vps instance should ever get compromised, the attacker would be able to make broad changes to my entire domain’s zone record.

I’ll review my earlier post a bit later to reflect the updated changes.

@DocFraggle I don’t mean to step on your toes with my method. I think it’s great to see an option to implement a blocklist. Sadly the bitwire blocklist I want to use has over 3m entries and takes forever to import. Seems impractical to do on a vps. The dynamic option appears to be a good alternative, balancing performance and security. For the traffic does make it through to port 25, mailcow does a good job of handling blocking with its own netfilter and spam protection methods.

FWIW, I find lookups from spamhaus free dq service to be invaluable to blocking majority of such traffic at postscreen level. Practically none making it rspamd.

maybl8

you guys know all the technical stuff.
So after reading this a thought came to my mind.
Should I add the ip’s from the abuse list to my netfilter block list? Don’t we get a new set of 10000 ip’s every 5 hours?
It would be cool if those IP’s could automatically be added to the netfilter blocklist.
Thanks

« Previous Page Next Page »