semaf Crowdsec installation gibt es hier -> Protecting mailcow with Crowdsec

Blog of vacum

Protecting mailcow with Crowdsec

Note: At the moment of publication the monitoring of the dovecot container is not working. A bugfix for that will come in the next release of crowdsec. I tried to find a nice description of mailcow on their website and this is the best I found :) > The mailserver suite with

Hier nochmal eine schöne Seite als Ergänzung, die auf die Absicherung eines Linux Servers mit Crowdsec eingeht (was man natürlich auch in Verbindung mit mailcow gilt) und noch mal ein paar konfigurations Beispiele für die Benachrichtung per Mail oder Telegramm und den Bannzeiten eingeht. Mir hat es gut geholfen bei der Einarbeitung in Crowdsec. Vor allem da es mal eine der wenigen Anleitung ist, die in meiner Muttersprache verfasst wurde. Stehe leider mit Englisch etwas auf Kriegsfuß. Hätte ich das damals in der Schule gewusst wie wichtig das mal wird, dann hätte ich besser aufgepasst.

Hier der Link -> In 15 Minuten Linux-Server mit CrowdSec absichern | andersGOOD Blog

andersgood.de

In 15 Minuten Linux-Server mit CrowdSec absichern | andersGOOD Blog

Schritt-für-Schritt Anleitung zur Einrichtung von CrowdSec, einem OpenSource-Tool zur Absicherung von Servern gegen schädliche Zugriffe aus dem Internet

DocFraggle Stimmt, soll ja nicht unerwähnt bleiben, wer den Stein ins rollen gebracht hat.

MaxPain

Dem kann ich mich nur voll und ganz anschließen. Dank des Skripts ist es nun wirklich ruhiger auf meinem Mailserver geworden. Wäre wirklich klasse, wenn das mit in der Doko mit aufgenommen werden würde. Dient ja schließlich auch dem Schutz des Mailservers. Dank des Skripts und die Erweiterung von Crowdsec bin ich ja nun auch aktiver Melder von bösen IPs an die AbuseIPdb geworden.

Falls jemand auch Crowdsec am laufen hat und die bösen IPs an AbuseIPDB melden möchte, kann das relativ einfach bewerkstelligen.

Im Config Verzeichnis die Datei im Unterordnet notifications html.yaml Datei bearbeiten
crowdsec/config/notifications/http.yaml und folgendes eintragen:

---
type: http
name: http_report_abuseipdb

log_level: debug

url: https://api.abuseipdb.com/api/v2/report
method: POST
headers:
  Content-Type: application/json
  Key:  <API Key von AbuseIPdb>
format: |
  {
    {{range . -}}
    {{$alert := . -}}
    {{range .Decisions -}}
    "ip": "{{ $alert.Source.IP }}",
    "categories": [
      {{ if contains $alert.Scenario "crowdsecurity/test alert" }} "1" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/andreasbrett/paperless-ngx-bf" }} "5" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/apache_log4j2_cve-2021-44228" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/appsec-vpatch" }} "21" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2017-9841" }} "21" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2019-18935" }} "20" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2021-4034" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2022-26134" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2022-35914" }} "21" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2022-37042" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2022-40684" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2022-41082" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2022-41697" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2022-42889" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2022-44877" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2022-46169" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2023-22515" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2023-22518" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2023-23397" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2023-49103" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2023-4911" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/CVE-2024-3875" }} "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/f5-big-ip-cve-2020-5902" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/fortinet-cve-2018-13379" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/grafana-cve-2021-43798" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-admin-interface-probing" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-bad-user-agent" }} "21", "19" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-bf-wordpress_bf" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-crawl-non_statics" }} "21", "19" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-cve-2021-41773" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-cve-2021-42013" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-cve-probing" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-generic-bf" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-open-proxy" }} "21" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-path-traversal-probing" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-probing" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-sensitive-files" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-sqli-probing" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-wordpress_user-enum" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-wordpress_wpconfig" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-wordpress-scan" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-xss-probing" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/iptables-scan-multi_ports" }} "14" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/jira_cve-2021-26086" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/mariadb-bf" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/netgear_rce" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/nextcloud-bf" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/nginx-req-limit-exceeded" }} "21", "6" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/pfsense-gui-bf" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/pulse-secure-sslvpn-cve-2019-11510" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/spring4shell_cve-2022-22965" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/ssh-bf" }} "22", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/ssh-slow-bf" }} "22", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/thinkphp-cve-2018-20062" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/vmware-cve-2022-22954" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/vmware-vcenter-vmsa-2021-0027" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/windows-bf" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/windows-CVE-2022-30190-msdt" }} "21", "15" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/wireguard-auth" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/http-sensitive-files" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/postfix-non-smtp-command" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "crowdsecurity/postfix-spam" }} "21", "18" {{end}}
      {{ if contains $alert.Scenario "firewallservices/pf-scan-multi_ports" }} "21", "14" {{end}}
      {{ if contains $alert.Scenario "firix/authentik-bf" }} "21", "18" {{end}}
    ],
    "comment": "This IP was detected by CrowdSec triggering {{ $alert.Scenario }}"
    {{end -}}
    {{end -}}
  }

Die Scenarios kann man an eurer Konfigurationen anpassen, entsprechend entfernen oder hinzufügen. Die Nummer hinter der Zeile [...] }} "21", "15" {{end}} entsprechen der Kategorien von AbuaseIPDB

Damit das ganze auch aufgerufen wird, muss noch das Plugin aktiviert werden. Das wird in der Konfig Datei config/profiles.yaml erledigt, dort muss man dann nur noch den Namen der der Notification aktivieren. In diesem fall müsst ihr nur - http_report_abuseipdb eintragen zum Aktivieren der Notifikation.

Eine vollständige Konfiguration sieht dann als Beispiel so aus:

---
name: default_ip_remediation
# debug: true
filters:
 - Alert.Remediation == true && Alert.GetScope() == "Ip"
decisions:
 - type: ban
   duration: 14h
duration_expr: Sprintf('%dh', (GetDecisionsCount(Alert.GetValue()) + 1) * 14)
notifications:
#   - slack_default  # Set the webhook in /etc/crowdsec/notifications/slack.yaml before enabling this.
#   - splunk_default # Set the splunk url and token in /etc/crowdsec/notifications/splunk.yaml before enabling th>
 - http_telegram
 - http_report_abuseipdb
# Set the required http parameters in /etc/crowdsec/notifications/http.yaml before enabling thi>
#   - email_default  # Set the required email parameters in /etc/crowdsec/notifications/email.yaml before enablin>
on_success: break
---
name: default_range_remediation
# debug: true
filters:
 - Alert.Remediation == true && Alert.GetScope() == "Range"
decisions:
 - type: ban
   duration: 14h
duration_expr: Sprintf('%dh', (GetDecisionsCount(Alert.GetValue()) + 1) * 14)
notifications:
#   - slack_default  # Set the webhook in /etc/crowdsec/notifications/slack.yaml before enabling this.
#   - splunk_default # Set the splunk url and token in /etc/crowdsec/notifications/splunk.yaml before enabling th>
 - http_telegram   # Set the required http parameters in /etc/crowdsec/notifications/http.yaml before enabling thi>
#   - email_default  # Set the required email parameters in /etc/crowdsec/notifications/email.yaml before enablin>
on_success: break

Nur noch den Crowdsec neustarten und abwarten bis der erste gemeldet wird.

Das sieht dann bei AbuseIPDB Reports so aus:

Ich finde das ganz Praktisch und hilft die Datenbank Aktuell zu halten.
Ohne das Skript von @DocFraggle wäre ich gar nicht auf AbuseIPDB aufmerksam geworden. Danke!

DocFraggle

Ups, das sollte eigentlich die Frage von @maybl8 beantworten. Aber da ist wohl was schief gelaufen mit mein Posting. Dummerweise kann man das aber leider nicht mehr editieren.

Ganzjahresgriller […] Bei mir läuft ja zusätzlich noch Crowdsec und trotzdem blockt der Mailcow Fail2ban auch noch reichlich. Die Welt ist böse.

Da bei mir auch noch Crowdsec läuft und ständig Diverse versuche von den Bösen meldet, habe ich mir das mal zunutze gemacht und unterstütze jetzt dadurch aktiv AbuseIPdb.

Die ganzeen IPs händisch zu melden wäre etwas mühsam gewesen, ich wollte was automatisches, so wie in dem Fail2Ban Beispiel.
Da ich aber in der Konfiguration von mailcow dafür nicht rumfummln wollte (was wahrscheinlich bei einem update wieder überschrieben wird), musste da was anders her. Etwas gegoogelt und einwenig später schon was praktisches für Crowdsec gefunden gehabt. Dazu wird das http Plugin von Crowdsec verwendet. So werden jetzt die ganzen Versuche von den bösen Jungs & Mädels Automatisch an AbuseIPdb von Crowdsec über das http Plugin gemeldet. Durch das aktive melden von IPs, bekommt man auch noch einen Bonus bei AbuseIPdb und darf die Datenbank mehr als 5 mal am Tag updaten. Also eine win win Situation.

Auch wenn du schon auf Ubuntu gewechselt hast, kann ich dir aber versichern, das Mailcow unter Debian 12 ausgezeichnet läuft.

@DocFraggle : Danke für das tolle Skript, hab es gestern Abend bei mir installiert und läuft wunderbar. Endlich kehrt ein bisschen mehr ruhe ein. War die letzten Tage schon auffällig mehr geworden.

Hallo, die Thread ist ja schon ein bisschen älter, aber durch den den Beitrag hier Schwache Ciphers entfernen

mailcow communityDiscussion

Schwache Ciphers entfernen

T Thor

54 7 Oct 11, 2024

curiosity

Ich habe mal die Ursprungs extra.cf wieder hergestellt.
Bei einem Test auf der Seite von internet.nl komme ich weiterhin nur auf 97%. Jetzt meckert er, das die Key exchange parameters ( DH-2048) insufficient sei.
Kann ich denn eigentlich bei dem Test die 100% erreichen ohne die alten Zöpfe komplett abzuschneiden und zu riskieren das einige Emails nicht mehr ankommen werden? Würde mich über gute Tips freuen. ;-)

Hallo, erst einmal danke für Eure Antworten,

der einfachste Weg wäre natürlich, wie Dennis es ja auf seiner Seite schon angemerkt hat, dann verzichtet man halt auf die Mails. Bisher läuft es gut und ich vermisse bis auf diese, keine Mails. Alle wichtigen kommen bei mir an. Aber zufrieden stellt es mich nicht gerade so wirklich. Denn gerade die Sparkassen werben bzw. warnen ja zwischen durch immer wieder für sicheren Email Verkehr in ihren Newslettern. Wenn ich z.B. mal in den Email Header schaue, wo ich die Einstellungen herunter gestuft habe, so sieht es doch aus, als wenn der Server doch wohl TLS 1.2 beherrscht …

Received: from p02eh.mail.s-web.de (p02eh.mail.s-web.de [195.140.96.5]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mail.mailserver.de (Postcow) with ESMTPS id 304037D624 for <sparkasse@maildresse.de>; Wed, 1 May 2024 23:08:41 +0200 (CEST)
Received: from unknown (HELO d100spul1721.d100.intern) () by p02ev.mail.s-web.de with ESMTP/TLS/DHE-RSA-AES256-GCM-SHA384; 01 May 2024 17:47:16 +0200

Also müssten doch eigentlich die Emails ankommen oder nicht?

esackbauer Eine Downgrade Attacke (auf unverschlüsselt) lässt sich nur durch DANE verhindern, bzw. wenn man die Sender Domains zu einer smtp_tls_policy hinzufügt.

Dane habe ich konfiguriert. wie würde denn so eine smtp_tls_policy dafür aussehen?

accolon Meine Default-Installation von mailcow erhält 100%, den o.g. Hinweis nehme ich einfach zur Kenntnis.

Hmm, wenn ich meine zusätzlichenEinstellungen in der extra.cf herausnehme, erhalte ich nur noch 75 Punkte.
Dummerweise habe ich vergessen mir ein Backup der extra.cf vorher anzulegen. schäm Meines wissen sind da doch im Rohzustand nur zwei Zeilen drin.

myhostname = mail.meinserver.de
smtp_helo_name = mail.meinserver.de

Oder wie sieht der Rohzustand der extra.cf aus?

Hallo,
ich bin noch recht frisch in Sachen mailcow. Diesen habe ich vor ca. 3 Monaten in Betrieb genommen mit einer neuen registrierten Domain um mich mit dem mailcow Server vertraut zu machen. Da die Domain noch unbekannt war, konnte ich so mit Emails hantieren und lief nicht Gefahr, das der Empfang von wichtigen Mails gefährdet wird. Funktionierte auch alles super. Mails Senden und Empfangen klappt. Beim Emailserver Test von internet.nl erreiche ich volle Punktzahl und der Test bei www.checktls.com erreiche ich auch die Maximale Punktezahl.

Soweit so gut dachte ich mir, nun könnte ich endlich meine alte Domain beim alten Provider kündigen und mit ihm den blöden Emailserver der im Webpaket inkl. war. Der Umzug der Domain lief problemlos und mailcow wurde um die zweite Domain erweitert. Die ersten Mails trafen ein und wir konnten Zuhause Problemlos mails verschicken. Mails von den großen Providern (Google, Apple & Co) kommen an. Ich war zufrieden mit dem Umzug und der Umstellung auf mailcow. SPAM Mails nahmen deutlich ab.
So weit so gut, jetzt kommt das aber. Eine Mail bekomme ich einfach nicht mehr. Es handelt sich um eine Info Mail des Service der Sparkassen. Und zwar nennt sich der Service “Kontowecker”. Im Profil kann man festlegen worüber man Info (Abbuchen, Kontostand am Tages ende usw.) bekommen soll. Diese Email kommt einfach nicht an.
Heute hatte ich mal etwas mehr Zeit und konnte in den Logs von Postfix was finden.

Dort tauchte dann diese Zeilen hier auf:
03.05.2024, 17:51:13 info statistics: max connection rate 2/60s for (smtpd:195.140.96.4) at May 3 17:45:41
03.05.2024, 17:45:47 info disconnect from p01eh.mail.s-web.de[195.140.96.4] ehlo=1 mail=1 rcpt=0/1 rset=1 quit=1 commands=4/5
03.05.2024, 17:45:41 info NOQUEUE: reject: RCPT from p01eh.mail.s-web.de[195.140.96.4]: 550 5.7.1 Session encryption is required; from=<noreply@kontowecker.de> to=<empfang@meine.email> proto=ESMTP helo=<p01eh.mail.s-web.de>
03.05.2024, 17:45:41 info connect from p01eh.mail.s-web.de[195.140.96.4]
03.05.2024, 17:45:41 info PASS OLD [195.140.96.4]:8377
03.05.2024, 17:45:41 info Look up 195.140.96.4 on whitelist, result 200 DUNNO
03.05.2024, 17:45:41 info CONNECT from [195.140.96.4]:8377 to [172.22.1.253]:25
03.05.2024, 17:45:41 info disconnect from p01eh.mail.s-web.de[195.140.96.4] ehlo=1 starttls=0/1 commands=1/2
03.05.2024, 17:45:41 info lost connection after STARTTLS from p01eh.mail.s-web.de[195.140.96.4]
03.05.2024, 17:45:41 info SSL_accept error from p01eh.mail.s-web.de[195.140.96.4]: -1
03.05.2024, 17:45:41 info connect from p01eh.mail.s-web.de[195.140.96.4]
03.05.2024, 17:45:39 info PASS OLD [195.140.96.4]:8291
03.05.2024, 17:45:36 info addr 195.140.96.4 listed by domain list.dnswl.org as 127.0.2.2
03.05.2024, 17:45:36 info Look up 195.140.96.4 on whitelist, result 200 DUNNO
03.05.2024, 17:45:36 info CONNECT from [195.140.96.4]:8291 to [172.22.1.253]:25

Wenn ich das jetzt richtig deute, versucht dieser Emailserver nun eine unverschlüsselte Verbindung aufzubauen oder? Wie kann ich es nun anstellen, dass ich Mails von dem Absender erhalte, ohne die Sicherheit von der mailcow runterzuschrauben? Die IP in der Wihitelist aufzunehmen, hat nicht geholfen, wie man sehen kann.

Ich habe mal in einer alten Email (im Kompletten Header) die noch im Postfach lag, nachgesehen, so weit ich das gesehen habe benutzt der Mailserver TLS 1.2. Anderen Mails die ich erhalte benutzen ebenfalls TLS 1.2. Ich komme da gerade nicht weiter, hat jemand einen Tip für mich?

Andere Infomails der Sparkasse erhalte ich, die kommen aber von einem anderen Emailserver.

Lieben Gruß
Mario