Onderwerp: Dovecot/pop3 beter beveiligen, hoe?

Vandaag op een van de servers een probleempje gehad met een useraccount wat misbruikt werd.
Een of andere Maleisiër zag vervolgens kans om via pop 3 in te loggen en de hele mailque vol te duwen (paar honderd pagina's waren in DA te zien).

In de logs stond het volgende:
2010-03-25 17:28:28 1Nupv2-0006WF-K0 <= <> R=1NupIN-00076Y-Gv U=mail P=local S=3736 T="Mail delivery failed: returning message to sender" from <> for mrsalmira1011@gmail.com

Na wat zoeken op het msgid en het dichtzetten van pop3 kwamen de login failures tevoorschijn. Het bleek door een domme fout te komen van een reseller. Die had voor een klant die nog niet betaald had een nog niet geregistreerd domein alvast aangemaakt in de hosting en ook nog eens het account actief gezet te hebben.
En toen gingen er 2 mensen, 1 van Maleisië en eentje van Egypte fijn met pop 3 inloggen en mailbommen (spam) versturen.

Maar hoe is zoiets nu te voorkomen? Er draait als csf/lfd, alles zit al redelijk dicht. Is er iets in dovecot in te stellen zodat er in die logregel die boven staat ook de usernaam of accountnaam van de afzender komt te staan? Zodat je sneller ziet van welk pop3 account e.e.a. afkomstig is?

Of misschien nog betere beveilingsmethodes?

Wellicht heb je hier wat aan http://help.directadmin.com/item.php?id=81

Bedankt voor de reactie, maar deze had ik al gezien, men wil echter graag dat het voor de klanten met bijv. winkels of forums mogelijk blijft om al hun users te mailen of een mailinglijst te onderhouden.

Dan zou je zo'n limiet al snel naar 500 moeten zetten. Daarbij ga ik er van uit dat die limit per uur is. In principe wel mogelijk, alleen moet je de klanten dat dan wel gaan vertellen, ik zie dat niet zoveel bij hosting bedrijven.

Wellicht zijn er nog alternatieven?

De reseller opvoeden?

Maar je kunt ook /etc/exim.pl wijzigen:

Code:

sub check_limits
{
	my $count = 0;

	#find the curent user
	$uid = find_uid();
	$name = getpwuid($uid);

	my $userlimit = "/etc/virtual/usage/$name.limit";
	if (-e $userlimit) 
	{
		open (LIMIT, "$userlimit");
	} 
	else 
	{
		open (LIMIT, "/etc/virtual/limit");
	}
	my $email_limit = int(<LIMIT> );
	close(LIMIT);

	#log_str("Found uid: $uid\n");

	if (uid_exempt($uid)) { return "yes"; }

	my $name="";
	if ($email_limit > 0)
	{
		#check this users limit
		if (($name = getpwuid($uid)))
		{
			$count = (stat("/etc/virtual/usage/$name"))[7];
			if ($count > $email_limit)
			{
				die("You ($name) have reach your daily email limit of $email_limit emails\n");
			}
		}
	}
	
	open(USAGE, ">>/etc/virtual/usage/$name");
	print USAGE "1";
	close(USAGE);
	chmod (0660, "/etc/virtual/usage/$name");

	log_bandwidth($uid);

	return "yes"
}

Standaard limiet in /etc/virtual/limit en per user stel je in via /etc/virtual/usage/$name.limit.

(dit komt gewoon vanaf het DA forum, maar met een klein beetje perl idee had je dit ook zelf kunnen puzzelen ;-))

Bedoel je niet SMTP (mail transport) ipv pop3 (mail ophalen)?

@getup: Hartelijk dank. Zal het daarmee eens gaan proberen. Maar Perl is niet mijn ding. Betreffende wilde meer een open instelling maar misschien een ander soort beveiliging op accounts.
Of liever gezegd, zoals in mijn initiele vraag, dat je meteen kunt zien welk account iets aan het sturen is via smtp.
Dat zou fijner zijn dan beperkingen.

Reseller is inmiddels opgevoed middels een bericht overigens.

@VinceSTM: Ja klopt, moet smtp zijn, ik vergiste me omdat na uitschakeling in de logs del vele pop3 logins op dat account als eerste in het oog schoten, vanwege de authorisatie (zeg maar pop before smtp).