Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > de.comm.software.webserver > #1372 > unrolled thread

Re: mailman spam-Abwehr?

Started byUlli Horlacher <framstag@rus.uni-stuttgart.de>
First post2020-08-27 22:47 +0000
Last post2020-08-28 09:53 +0200
Articles 6 — 3 participants

Back to article view | Back to de.comm.software.webserver

This discussion starts older than the indexed window; earlier articles aren't shown. The article labeled Started by below is the oldest one visible, not the original post.


Contents

  Re: mailman spam-Abwehr? Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2020-08-27 22:47 +0000
    Re: mailman spam-Abwehr? Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2020-08-27 23:09 +0000
      Re: mailman spam-Abwehr? Sven Hartge <sh-208@svenhartge.de> - 2020-08-28 06:51 +0200
    Re: mailman spam-Abwehr? Matthias Andree <matthias.andree@gmx.de> - 2020-08-28 08:12 +0200
      Re: mailman spam-Abwehr? Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2020-08-28 08:46 +0000
    Re: mailman spam-Abwehr? Sven Hartge <sh-208@svenhartge.de> - 2020-08-28 09:53 +0200

#1372 — Re: mailman spam-Abwehr?

FromUlli Horlacher <framstag@rus.uni-stuttgart.de>
Date2020-08-27 22:47 +0000
SubjectRe: mailman spam-Abwehr?
Message-ID<ri9d6d$d8l$2@news2.informatik.uni-stuttgart.de>
Prolog: Ich *ZENSIERT* sollte erstmal die followups auf meine eigenen
Artikel lesen, bevor ich weiteres poste :-}
Hab was aehnliches dazu grad in de.comm.software.webserver geschrieben.

Florian Weimer <fw@deneb.enyo.de> wrote:

> > Ach ja: Wir haben sämtliche Listen aus der List-Server-Listenübersicht
> > entfernt, so dass man nicht mehr so einfach von außen wissen kann, was
> > für Listen es gibt und wie man diese subcribiert.

SEUFZ. EIGENTLICH wollte ich das feature erhalten.


> Ich habe die Templates dahingehend geändert, daß sie den passenden
> mailto:-Link enthalten, und /subscribe komplett abgeklemmt.

Klingt gut! Wie/wo macht man das?
Ich hab zwar mailman und apache selber aufgesetzt, aber das ist JAHRE her
und seither kaum noch angefasst. So ist das halt mit guter UNIX-Software:
einmal installiert und laeuft und laeuft und laeuft... :-}


> Email hat den Vorteil, daß man heutzutage die Absenderadresse recht
> gut validieren kann, und bei Admin-Email sehe ich auch kein Problem
> damit, Header-From == Envelope-From zu erzwingen.

Und ich hab da procmail. Damit kenn ich mich aus :-)


> Im Moment reicht es vermutlich sogar as, axios/0.19.2 als User-Agent
> zu blockieren.

User-Agent log ich bisher nicht. Ist wohl ein Fehler.
Wie blockt man bestimmte User-Agents?


-- 
Ullrich Horlacher              Server und Virtualisierung
Rechenzentrum TIK         
Universitaet Stuttgart         E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a                Tel:    ++49-711-68565868
70569 Stuttgart (Germany)      WWW:    http://www.tik.uni-stuttgart.de/

[toc] | [next] | [standalone]


#1373

FromUlli Horlacher <framstag@rus.uni-stuttgart.de>
Date2020-08-27 23:09 +0000
Message-ID<ri9efu$e42$1@news2.informatik.uni-stuttgart.de>
In reply to#1372
In de.comm.software.mailserver Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:

> > Im Moment reicht es vermutlich sogar as, axios/0.19.2 als User-Agent
> > zu blockieren.
> 
> User-Agent log ich bisher nicht. Ist wohl ein Fehler.

Inzwischen eingeschaltet und prompt erwischt:

155.254.54.150 - - [2020-08-28 01:05:57] "POST /mailman//subscribe/liste-auswahl HTTP/1.1" 200 1697 "-" "axios/0.19.2" "-"

Guter Tipp!

Wie blockt man mit apache bestimmte User-Agents?

-- 
Ullrich Horlacher              Server und Virtualisierung
Rechenzentrum TIK         
Universitaet Stuttgart         E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a                Tel:    ++49-711-68565868
70569 Stuttgart (Germany)      WWW:    http://www.tik.uni-stuttgart.de/

[toc] | [prev] | [next] | [standalone]


#1374

FromSven Hartge <sh-208@svenhartge.de>
Date2020-08-28 06:51 +0200
Message-ID<6gjcn6r11vj8v8@mids.svenhartge.de>
In reply to#1373
Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
> In de.comm.software.mailserver Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:

>>> Im Moment reicht es vermutlich sogar as, axios/0.19.2 als User-Agent
>>> zu blockieren.
 
>> User-Agent log ich bisher nicht. Ist wohl ein Fehler.

> Inzwischen eingeschaltet und prompt erwischt:

> 155.254.54.150 - - [2020-08-28 01:05:57] "POST /mailman//subscribe/liste-auswahl HTTP/1.1" 200 1697 "-" "axios/0.19.2" "-"

> Guter Tipp!

> Wie blockt man mit apache bestimmte User-Agents?

Och komm Ulli, du kannst eine Suchmaschine doch bedienen!

Da gibt es mehrere Varianten:

Via mod_rewrite, aber mod_rewrite kostet recht viel CPU:

,----
| RewriteEngine On
| RewriteCond %{HTTP_USER_AGENT} axios [NC,OR]
| RewriteCond %{HTTP_USER_AGENT} badbot [NC,OR]
| RewriteCond %{HTTP_USER_AGENT} badspider [NC]
| RewriteRule . - [R=403,L]
`----

Via Require/SetEnvIf:

,----
| SetEnvIf User-Agent "axios" bad_user
|
| <Location />
|        <RequireAll>
|        Require all granted
|        Require not env bad_user
|        </RequireAll>
| </Directory>
`----

S!

-- 
Sigmentation fault. Core dumped.

[toc] | [prev] | [next] | [standalone]


#1375

FromMatthias Andree <matthias.andree@gmx.de>
Date2020-08-28 08:12 +0200
Message-ID<hqrlidFg0vaU1@mid.dfncis.de>
In reply to#1372
FUp2 gesetzt

Am 28.08.20 um 00:47 schrieb Ulli Horlacher:
> Prolog: Ich *ZENSIERT* sollte erstmal die followups auf meine eigenen
> Artikel lesen, bevor ich weiteres poste :-}
> Hab was aehnliches dazu grad in de.comm.software.webserver geschrieben.
> 
> Florian Weimer <fw@deneb.enyo.de> wrote:
> 
>>> Ach ja: Wir haben sämtliche Listen aus der List-Server-Listenübersicht
>>> entfernt, so dass man nicht mehr so einfach von außen wissen kann, was
>>> für Listen es gibt und wie man diese subcribiert.
> 
> SEUFZ. EIGENTLICH wollte ich das feature erhalten.
> 
> 
>> Ich habe die Templates dahingehend geändert, daß sie den passenden
>> mailto:-Link enthalten, und /subscribe komplett abgeklemmt.
> 
> Klingt gut! Wie/wo macht man das?

In einem templates/-Verzeichnis.

ACHTUNG: wenn Du direkt auf den templates fummelst und nicht durchs
Webinterface - die gehen in ein *separates* Verzeichnis, damit sie beim
Update erhalten bleiben, siehe auch Utils.py und hier:

<https://wiki.list.org/DOC/4.48%20How%20can%20I%20change%20the%20HTML%20or%20.txt%20templates%20used%20by%20my%20mailing%20lists%3F>

> Ich hab zwar mailman und apache selber aufgesetzt, aber das ist JAHRE her
> und seither kaum noch angefasst. So ist das halt mit guter UNIX-Software:
> einmal installiert und laeuft und laeuft und laeuft... :-}

Leichtsinn, fahrlässig.  Pflege nötig, wenn die nicht von Deinem
kommerziellen Distributor geleistet wird.
Schau mal, wie viele Security fixes in letzter Zeit noch herauskamen:

<http://bazaar.launchpad.net/~mailman-coders/mailman/2.1/view/1859/NEWS#L8>

>> Email hat den Vorteil, daß man heutzutage die Absenderadresse recht
>> gut validieren kann, und bei Admin-Email sehe ich auch kein Problem
>> damit, Header-From == Envelope-From zu erzwingen.
> 
> Und ich hab da procmail. Damit kenn ich mich aus :-)

Verbuggte, ca. 20 Jahre ungepflegte und seit jeher fehlkonzeptionierte
Museumssoftware, in der Du das error handling selbst schreiben musst, um
scheinzufälliges Verhalten zu vermeiden?

Schau Dir mal maildrop an...

[toc] | [prev] | [next] | [standalone]


#1377

FromUlli Horlacher <framstag@rus.uni-stuttgart.de>
Date2020-08-28 08:46 +0000
Message-ID<riag9b$lfo$1@news2.informatik.uni-stuttgart.de>
In reply to#1375
In de.comm.software.mailserver Matthias Andree <matthias.andree@gmx.de> wrote:

> > Ich hab zwar mailman und apache selber aufgesetzt, aber das ist JAHRE her
> > und seither kaum noch angefasst. So ist das halt mit guter UNIX-Software:
> > einmal installiert und laeuft und laeuft und laeuft... :-}
> 
> Leichtsinn, fahrlässig.  Pflege nötig, wenn die nicht von Deinem
> kommerziellen Distributor geleistet wird.

Letzteres ist der Fall. Deshalb muss ICH mich nicht drum kuemmern.
Security Updates werden automatisch eingespielt.


> > Und ich hab da procmail. Damit kenn ich mich aus :-)
> 
> Verbuggte, ca. 20 Jahre ungepflegte und seit jeher fehlkonzeptionierte
> Museumssoftware, in der Du das error handling selbst schreiben musst, um
> scheinzufälliges Verhalten zu vermeiden?

Bisher funktioniert es gut. Um die Design-Schwaechen komm ich mit
Workarounds zurecht.


> Schau Dir mal maildrop an...

Sieht gut aus. Kommt auf meine Muss_ich_mir_mal_anschauen-Liste

Das Problem: Ich hab mehrere 1000 Zeilen procmail Code, historisch
gewachsen ueber 25 Jahre. Das konvertiere ich nicht so schnell :-}


-- 
Ullrich Horlacher              Server und Virtualisierung
Rechenzentrum TIK         
Universitaet Stuttgart         E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a                Tel:    ++49-711-68565868
70569 Stuttgart (Germany)      WWW:    http://www.tik.uni-stuttgart.de/

[toc] | [prev] | [next] | [standalone]


#1376

FromSven Hartge <sh-208@svenhartge.de>
Date2020-08-28 09:53 +0200
Message-ID<7gjd21011vj8v8@mids.svenhartge.de>
In reply to#1372
Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:

>>> Ach ja: Wir haben sämtliche Listen aus der List-Server-Listenübersicht
>>> entfernt, so dass man nicht mehr so einfach von außen wissen kann, was
>>> für Listen es gibt und wie man diese subcribiert.

> SEUFZ. EIGENTLICH wollte ich das feature erhalten.

Das ist aber DER Einstiegspunkt für die Deppen:

lists.thm.de:443 193.110.203.153 - - [18/Aug/2020:05:53:36 +0200] "GET /mailman/listinfo HTTP/1.1" 200 10004 "-" "axios/0.19.2" TLSv1.3 TLS_AES_256_GCM_SHA384
listserv.fh-giessen.de:443 193.110.203.153 - - [18/Aug/2020:06:10:03 +0200] "GET /mailman/listinfo HTTP/1.1" 200 10086 "-" "axios/0.19.2" TLSv1.3 TLS_AES_256_GCM_SHA384

Das wäre dann auch hier der Anfang vom Angriff gewesen. Da dort aber
keine Listen aufgeführt werden, war es dann direkt wieder.

S!

-- 
Sigmentation fault. Core dumped.

[toc] | [prev] | [standalone]


Back to top | Article view | de.comm.software.webserver


csiph-web