Bösartige Zugriffe (IP) auf Mailenable

[dersuperpro1337]

Hallo zusammen,

ich habe mich nach bestem Wissen und Gewissen darum bemüht, meinen Windows 2016 Server sicher aufzusetzen.
Jedoch komme ich so langsam an meine Grenzen was das Einrichten von Mailenable als Mailserver angeht.

ich habe heute durch MBAM festgestellt, dass zwei angeblich bösartige IPs kontinuierlich versuchen auf Mailenable und Svchost zuzugreifen. Ich bekomme eine Nachricht, dass MBAM diese IPs beim Zugriff auf MESMTP und svchost blockiert hat.
Weder ein IP Block in Mailenable noch ein Block der beiden IPs in der Firewall schaffen Abhilfe. MBAM blockiert weiterhin im Minutentakt diese Zugriffe.
In meinem SMTP Protokoll wird auch ersichtlich, dass diverse (!) IPs vergeblich versuchen, sich in meinen Mailaccount einzuloggen.

Passwörter wurden bereits geändert, ein Virenscan ist (wie bisher immer) sauber.
Die Ports, auf die diese Zugriffe laufen sind, so wie ich es sehe, auch nicht in der Firewall geöffnet.
Ich weiß nicht, wonach ich suchen soll oder wie ich genau vorgehen könnte.

Ich wäre sehr dankbar für Eure Hilfe. Ich stelle gerne alle notwendigen Informationen zur Verfügung!

 

[DeusoftheWired]

Schau mal, ob du über WSL das Werkzeug fail2ban zum Laufen bekommst.

 

[deveth0]

Wenn du dir sicher bist, dass du beim aufsetzen alles richtig gemacht hast, dann würde ich mir keine großen Gedanken machen.
Sobald man einen Server im großen weiten Internet stehen hat, ist es nur eine Frage der Zeit bis da Portscans, Logins etc losgehen.

Fail2Ban ist die Standardlösung für Linux Systeme, ich weiß leider nicht, wie / was man da bei Windows am besten nimmt, einfach mal etwas suchen.

 

[dersuperpro1337]

@deveth0
Der Server ist gemietet und durch Plesk verwaltet. Ich habe mich rudimentär um zusätzliche Sicherheitsmaßnahmen gekümmert, bin jetzt aber ziemlich überfordert, was ich tun soll.

@DeusoftheWired
Fail2Ban bekomme ich nicht in der Zeit zum Laufen, die ich mich mit dem Problem auseinandersetzen kann. Leider kommt das ganze zu einer Zeit, in der ich alle Hände voll zu tun habe mit anderer Arbeit.

Was ich gefunden habe ist IPBan von GitHub https://github.com/DigitalRuby/IPBan
Und oh weh, geht es gerade in der Kommandozeile ab (Screen hängt an).
All der Kram will sich mit großer Wahrscheinlichkeit Zugang zu MailEnable verschaffen und ich habe ehrlich gesagt keine Ahnung, ob nicht irgendwann eine Lücke gefunden wird.

Plesk lässt keine IP Bans über den gesamten Port Bereich zu.
Ob IPBan diese Bans tatsächlich effektiv umsetzen kann (automatisches Anlegen von Blocks in der Windows Firewall), weiß ich ehrlich gesagt auch nicht.
MBAM blockiert weiterhin lediglich zwei IPs, jedoch immer noch mehrfach pro Minute über den gesamten Port Bereich (1.000 - 60.000)

 

[BlubbsDE]

Entweder ist Dein Mailserver erreichbar im Netz, oder er ist es nicht. Und wenn er erreichbar ist, dann musst Du damit leben. Ordentliche Pflege und Absicherung ist daher obligatorisch und kein Kinderspiel.

bin jetzt aber ziemlich überfordert, was ich tun soll.

Dann vielleicht nicht selber einen Mailserver betreiben.

 

[Bob.Dig]

Kannst Du die beiden IPs nicht einfach in der Firewall blocken?

 

[dersuperpro1337]

Dann vielleicht nicht selber einen Mailserver betreiben.

Komm schon - Ich hoffe, Du weißt selbst, dass ein solcher Kommentar niemandem weiter hilft.
Ich betreibe meine eigene Webseite und meinen eigenen Mailserver seit rund 5-6 Jahren und hatte bisher noch keine solchen Probleme.
Es ist also für Dich unverständlich, dass ich etwas Panik schiebe, wenn plötzlich hunderte dutzende unterschiedliche IP Adressen versuchen, sich auf meinen Server zu brute-forcen?

@Bob.Dig Die Adresse, die von MBAM geblockt wird, habe ich bereits ohne Wirkung in der Firewall bei Inbound blockiert, jedoch hat MBAM nicht aufgehört, sie zu blockieren. Daher gehe ich davon aus, dass der Eintrag keine Wirkung hat.

 

[DeusoftheWired]

Für Windows fix zusammengesucht: https://itefix.net/win2ban kostet, bietet aber eine Probeversion an. Kostenlos ist dagegen IPBan.

 

[dersuperpro1337]

@DeusoftheWired IPBan läuft seit rund 15 Minuten und hat gefühlt bereits 20-30 Adressen gebannt.
Aber:
1) Die Adresse, welche MBAM blockiert, war bisher noch nicht dabei
2) Die Adresse, welche MBAM blockiert, habe ich auf die gleiche weise, wie IPBan es tut, bereits manuell in der Firewall blockiert und MBAM blockiert sie dennoch alle 20-30 Sekunden.

 

[Bob.Dig]

Kannst Du sehen, welche svchost betroffen ist? Das könnte die Firewall selbst sein. Ergo würde dein AV viel Wind um nix machen.

 

[dersuperpro1337]

@Bob.Dig Leider kann ich das nicht sehen. Ich habe nur das, was MBAM mir in den Reports zur Verfügung stellt:

-Log Details-
Protection Event Date: 9/14/20
Protection Event Time: 9:34 PM

-System Information-
OS: Windows 10 Server (Build 14393.3504)
CPU: x64
File System: NTFS
User: System

-Blocked Website Details-
Malicious Website: 1
, C:\Windows\System32\svchost.exe, Blocked, -1, -1, 0.0.0, ,

-Website Data-
Category: Compromised
Domain:
IP Address: 92.63.194.47
Port: 50823
Type: Inbound
File: C:\Windows\System32\svchost.exe

Und

[...]

-Blocked Website Details-
Malicious Website: 1
, C:\Program Files (x86)\Mail Enable\Bin64\MESMTPC.exe, Blocked, -1, -1, 0.0.0, ,

-Website Data-
Category: Compromised
Domain:
IP Address: 212.70.149.20
Port: 31318
Type: Inbound
File: C:\Program Files (x86)\Mail Enable\Bin64\MESMTPC.exe

 

[snaxilian]

Das Internet ist halt kein Streichelzoo, vor allem nicht für Serveradmins
Für den Anfang: https://cloudblogs.microsoft.com/wi...available-windows-server-2016-security-guide/

Leider kommt das ganze zu einer Zeit, in der ich alle Hände voll zu tun habe mit anderer Arbeit.

Dann ist allerspätenstens JETZT der richtige Moment um den Server abzuschalten und zu kündigen wenn du dich nicht darum kümmern kannst oder dich davon in Panik versetzen lässt. Nicht erfolgreiche Zugriffe sind genau das: nicht erfolgreich. Abhaken.
Wenn das System mit nacktem Arsch im Internet hängt wäre ein IDS/IPS sinnvoller damit du mit bekommst wenn ein Angriff erfolgreich sein sollte.
Ansonsten sollte es selbstverständlich sein, dass du alle Windows-Patches an Tag 0 einspielst. Zusätzlich würde ich mich auf die Suche begeben warum svchost.exe von extern erreichbar ist... Für einen Mailserver sollte es vollkommen reichen wenn die relevanten Ports für SMTP, IMAP und ggf. POP3 erreichbar sind. Je nach Zusatzfeatures noch Webmail, ActiveSync etc und alle natürlich ausschließlich per TLS1.2/1.3 mit zeitgemäßen Ciphers.