Hallo zusammen, da ich auch immer mal wieder solche Einträge im Autodiscover Log habe [upl-image-preview uuid=77a2b8ae-a5b3-48b3-b335-318446bed94d url=https://community.mailcow.email/assets/files/2025-03-20/1742507946-798112-grafik.png alt={TEXT?}] wollte ich doch einmal nachfragen ob Autodiscover im Netfilter mit überprüft wird. Wenn nein, macht es nicht Sinn das auch mit aufzunehmen? Es sind ja, wenn man das ganze genau Betrachtet, Angriffe auf die Serverinfrastuktur. Danke für euren Input.

Autodiscover & Netfilter

itsaw

Hallo zusammen,

da ich auch immer mal wieder solche Einträge im Autodiscover Log habe

wollte ich doch einmal nachfragen ob Autodiscover im Netfilter mit überprüft wird.

Wenn nein, macht es nicht Sinn das auch mit aufzunehmen? Es sind ja, wenn man das ganze genau Betrachtet, Angriffe auf die Serverinfrastuktur.

Danke für euren Input.

esackbauer

itsaw Es sind ja, wenn man das ganze genau Betrachtet, Angriffe auf die Serverinfrastuktur.

Das sieht eher aus wie ein Webcrawler/Indexer. Ich würde mir keine Gedanken machen, es findet ja nichtmal ein login-Versuch statt.
Man wird immer solche oder ähnliche Einträge finden, so ist das nun einmal wenn man Webserver und vor allem Mailserver betreibt.
Du könntest auch die abuseipdb einbinden, die bekannte Angreifer blockiert, dazu gibt es hier eine Diskussion und ein Script wie man das einbindet:
https://community.mailcow.email/d/4527-massive-bruteforce-attacke-seit-wochen/65

itsaw

Na ein Webcrawler eher nicht, die IP hab ich mal gegengecheckt, die taucht doch auf einer bruteforce-Liste auf.
Dass wir ein gewisses Grundrauschen haben ist klar, die Frage hier geht ja eher in die Richtung in welchem Log das liegt und ob dieses nicht durch den Netfilter / fail2ban zu prüfen wäre / ist.

In dem von dir verlinkten Beitrag hatte ich ja auch schon geantwortet und die abuseipdb bringt eben auch nur etwas wenn der Netfilter dann auch die Zugriffe auf die Autodiscover blockt. Wenn dies nicht passiert bringt auch das sperren von IPs nichts.

DocFraggle

itsaw die abuseipdb bringt eben auch nur etwas wenn der Netfilter dann auch die Zugriffe auf die Autodiscover blockt

Da es eine DROP Regel für die IPs ist ist automatisch ALLES abgedeckt 😉

mlcwuser

itsaw Dass wir ein gewisses Grundrauschen haben ist klar, die Frage hier geht ja eher in die Richtung in welchem Log das liegt und ob dieses nicht durch den Netfilter / fail2ban zu prüfen wäre / ist.

Habs gerade getestet. Fail2Ban/Netfilter greift hier. Du kannst es selbst testen, indem du im Browser mail.yourdomain.tld/autodiscover/autodiscover.xml aufrufst, falsche Daten eingibst und die Seite dann mehrmals neu lädst.

Gratis Tipp: Teste es:via Mobilfunkverbindung. Ist einfacher dich nachher wieder freizuschalten, wenn du vom PC aus noch Zugriff auf das WebUI hast. 😉

esackbauer

Laut der Doku werden nur SOGo, dovecot, postfix und php-fm (mailcow GUI) logs vom Netfilter durchsucht.
Ich glaube das Autodiscover Log kommt aber vom Nginx.
Das blocken mittels abuseipdb (wo die IP adresse gelistet ist) passiert aber mit iptables, daher sollte eigentlich auch nginx abgedeckt sein.
Allerdings habe ich viele Versuche hintereinander in den Autodiscover logs von legitimen IP adressen, wo die Clientsoftware (in diesem Fall BlueMail) mehrere Versuche braucht um Autodiscover abzutesten. Da würde sich bei einem Fail2ban evtl. der User selbst auslocken.

itsaw

Ja den User zu blocken ist immer ein Problem.
Wobei dieser ja doch meistens beim zweiten Versuch eine ID mitliefert. Zumindest hab ich das bei einem Thunderbird im Log gesehen.
Wenn BlueMail wirklich mehrfach versucht ohne Auth das Autodiscover abzuklappern würde ich mir überlegen ob die Software richtig funktioniert.

Und ja, das ganze mit einer Firewall nochmals abzusichern klingt durchaus plausibel, dann kann ich aber auch die bekannten IPs einfach bei meinem RZ-Betreiber in die FW eintragen, ist zwar immer wieder ein händischer Prozess, aber so viele kommen bei mir zum Glück zur Zeit nicht an

esackbauer

itsaw Wenn BlueMail wirklich mehrfach versucht ohne Auth das Autodiscover abzuklappern würde ich mir überlegen ob die Software richtig funktioniert.

Das liegt halt bei Microsoft und den Client herstellern wie und was bei Autodiscover zulässig ist. Das kann sich morgen auch mit einem Update ändern. Ich wette beim Exchange Server macht sich auch keiner Gedanken darum.
Man muss so etwas akzeptieren, kann es nicht verhindern. Das fällt uns Deutschen schwer, wir wollen ein 100% sauberes bzw. eindeutiges Log 😉

itsaw

esackbauer

Da missverstehst du mich aber. Das ein Log nicht sauber bleibt ist mir klar, ich bin immerhin seit über 20 Jahren in der IT tätig.
Dass ich meinen Kunden dann aber eine andere Software empfehlen würde wenn eine ständig Mist baut ist wieder ein anderes Thema.
Von M$ red ich mal nicht, denn wer einen eigenen Mailserver auf Basis von OpenSource betreibt und dann mit Outlook oder ähnlichem darauf zugreift, um seine E-Mails doch wieder nach Redmond zu syncen.. naja lassen wir das

esackbauer

itsaw Das ein Log nicht sauber bleibt ist mir klar, ich bin immerhin seit über 20 Jahren in der IT tätig.

Was ist dann das Problem?
Bin übrigens seit 40 Jahren in der IT 😉

itsaw andere Software empfehlen würde wenn eine ständig Mist baut

Inwiefern ist das Mist? Man kann den Herstellern nicht vorschreiben wie sie ihre Software programmieren, solange sie die Spezifikationen einhalten.
Man kann als User ja die Software beliebig wählen, als Admin kann man nur hinterherlaufen und über useragent-Blocking aussperren oder mit Sanktionierung drohen 😉
Dann sollte man sich aber mMn. eine vernünftige Web Application Firewall vor Mailcow gönnen (ich verwende die Sophos Firewall die ist kostenlos für private Nutzung), da kann man sowas besser filtern.