Tag Archives: BSN

Topics about BSNSoft

Leaked-Api Keys mit Abusix und Proxmox verhindern

Wenn du einen DNSBL-Dienst wie Abusix in deinem Proxmox Mail Gateway nutzt, kann es passieren, dass Spammer den API-Key durch direkte DNS-Anfragen auslesen. Um dies zu verhindern, kannst du PowerDNS verwenden, um die DNSBL-Abfragen zu anonymisieren und gleichzeitig sicherzustellen, dass dein Mail Gateway weiterhin korrekte Antworten erhält.

Problemstellung

Proxmox Mail Gateway fragt DNSBL-Dienste wie Abusix direkt ab. Dabei enthält die Anfrage oft einen API-Key (z. B. 1234abcd.abusix.zone). Falls ein Spammer versucht, diese Anfrage direkt nachzuvollziehen, wird der API-Key möglicherweise geleaked.

Lösung

Durch PowerDNS und ein Lua-Skript kannst du Anfragen an DNSBL-Dienste wie *.abusix. anonymisieren. Das Skript leitet alle Anfragen mit der Domain-Endung .abusix. automatisch auf die API-Key-Domain (z. B. <API-KEY>.combined.mail.abusix.zone.) um. Der Spammer sieht nur, dass er auf einer Blacklist steht, ohne jemals den API-Key zu sehen.

Voraussetzungen

  • PowerDNS Recursor ist installiert.
  • Lua-Skripting ist aktiviert.

Schritt 1: Lua-Skript erstellen

Speichere folgendes Skript in /etc/powerdns/resolve.lua:

function preresolve(dq)
    -- Alte und neue Domain-Endungen
    local old_suffix = ".abusix."
    local new_suffix = ".<API-KEY>.combined.mail.abusix.zone."

    -- Den angefragten Domainnamen holen und prüfen
    local qname = dq.qname:toString()

    -- Prüfe, ob die Domain mit der alten Endung endet
    if qname:sub(-#old_suffix) == old_suffix then
        -- Alte Endung durch die neue ersetzen
        local new_domain = string.sub(qname, 1, -string.len(old_suffix) - 1) .. new_suffix

        -- Debug-Log (optional)
        pdnslog("Rewriting domain: " .. qname .. " -> " .. new_domain, pdns.loglevels.Info)

        -- CNAME hinzufügen und Weiterverfolgung aktivieren
        dq:addAnswer(pdns.CNAME, new_domain)
        dq.rcode = 0
        dq.followupFunction = "followCNAMERecords"

        return true  -- Anfrage wurde verarbeitet
    end

    return false  -- Anfrage wird normal weitergeleitet
end

Dieses Skript ersetzt alle Anfragen an .abusix. durch die API-Key-Domain <API-KEY>.combined.mail.abusix.zone. und stellt sicher, dass nur dein Mail Gateway korrekte DNSBL-Antworten erhält.

Schritt 2: PowerDNS konfigurieren

Bearbeite die Datei recursor.conf und füge Folgendes hinzu:

lua-dns-script=/etc/powerdns/resolve.lua

Speichere die Datei und starte den Recursor neu:

bashCode kopierensudo systemctl restart pdns-recursor

Schritt 3: Konfiguration im Proxmox Mail Gateway

  1. Öffne die DNSBL-Einstellungen in deinem Proxmox Mail Gateway.
  2. Trage als DNSBL-Domain nur noch abusix ein, ohne API-Key:Code kopieren
    abusix

Durch das Lua-Skript werden alle Anfragen an .abusix. automatisch umgeleitet. Der API-Key bleibt sicher verborgen.

Schritt 4: Funktion prüfen

Teste mit dig, ob die Umleitung funktioniert:

dig @127.0.0.1 1.2.3.4.abusix.

Wenn alles korrekt eingerichtet ist, sollte PowerDNS die Anfrage umleiten. In den Logs kannst du sehen, wie die Domain umgeschrieben wird:

sudo journalctl -u pdns-recursor

Beispielausgabe:

Rewriting domain: 1.2.3.4.abusix. -> 1.2.3.4.<API-KEY>.combined.mail.abusix.zone.

Warum diese Lösung?

  1. API-Key-Schutz: Dein API-Key bleibt geheim, selbst wenn Spammer versuchen, ihn durch DNS-Abfragen zu ermitteln.
  2. Proxmox bleibt funktional: Das Mail Gateway erhält weiterhin die korrekten DNSBL-Antworten.
  3. Flexible Erweiterung: Du kannst das Skript anpassen, um weitere Dienste oder Endungen zu anonymisieren.

Zusammenfassung

Mit PowerDNS und Lua kannst du sensible API-Keys vor unbefugten Zugriffen schützen. Dieses Skript sorgt dafür, dass DNSBL-Anfragen dynamisch umgeleitet werden, ohne dass dein Mail Gateway beeinträchtigt wird. Eine elegante Lösung für ein häufiges Sicherheitsproblem.

Statistik Proxmox Mail Gateway 2023

Ein Blick hinter die Kulissen: E-Mail Gateway im Nebenberuf

Im Kontext der digitalen Infrastruktur stellt der E-Mail-Verkehr eine faszinierende und oft unterschätzte Herausforderung dar. Normal schreibe ich über meinen Hauptjob und KI. Heute habe ich mich entschieden, euch mal etwas aus meinem Nebenberuf zu erzählen: Bei BSNSoft IT-Dienstleistungen betreiben wir einen Mail-Gateway-Cluster, der als kritische Komponente im E-Mail-Management für rund 75 Domains fungiert. Dieser Artikel gibt einen nüchternen Einblick in die Realität des Betriebs eines solchen Systems und zeigt, was IT-Enthusiasten und Administratoren erwarten könnte.

Analyse des Mailserver-Traffics für das Jahr 2023

Im Jahr 2023 verarbeitete unser Mailserver, ein aus zwei Gateways bestehender und ausfallsicher konfigurierter Cluster, insgesamt 370.543 E-Mails. Die Mehrheit davon, exakt 328.560 Nachrichten, waren eingehend. Diese Zahlen spiegeln eine überschaubare, aber dennoch signifikante Aktivität wider, die eine kontinuierliche Überwachung und Wartung erfordert. Etwas, was oft unterschätzt wird, wenn jemand sich vornimmt, seine eigene E-Mail Infrastruktur zu betreiben.

Spannend fand ich, dass um Weihnachten der Traffic erheblich abgenommen hat, was in der Welt der Firmen zu erwarten war. Allerdings nahm auch der Spam-Traffic ab, was man nur dadurch erklären kann, dass Spam immer noch durch Viren auf Arbeitsplatzcomputern verteilt wird, die an Weihnachten wohl abgeschaltet sind.

Statistiken 2023 von unserem Proxmox Mail Gateway

Spamaufkommen: Ein quantitatives Phänomen

Ein zentrales Thema im E-Mail-Management ist das Spamaufkommen. Unsere Statistiken für 2023 zeigen, dass 66% der eingehenden E-Mails als Junk klassifiziert wurden. Junk bedeutet, dass diese E-Mails bereits durch die eingehende IP klassifiziert und sogenannte DNSBL geblockt werden konnten. 18% konnten als Spam klassifiziert werden. Weitere 2% wurden erfolgreich durch Greylisting abgefangen. Diese Zahlen verdeutlichen, dass selbst bei einer moderaten Anzahl von Domains (75) das Spamvolumen eine nicht zu vernachlässigende Größe darstellt.

Durch den PMG können wir die Spam-Mails und Junk-Mails oft abfangen, bevor sie in den Posteingängen und somit den Backups und Jahresarchiven landen. Dort würden sie ansonsten erhebliche Mengen an Speicherplatz verbrauchen.

Virus Inhalte: Prävention und Intervention

Diese Viren wurden erkannt und geblockt.

Durch die robusten Sicherheitsmaßnahmen wurden auch 9 Viren-Mails detektiert und abgefangen. Dies unterstreicht die Bedeutung von proaktiven Schutzmechanismen. Unsere Wahl, Proxmox Mail Gateway zu nutzen, erwies sich als effektiv, um die Sicherheitsrisiken zu minimieren und die Integrität unseres Netzwerks zu wahren.

Technische Einblicke: Proxmox-Mail Gateway

Der Einsatz von Proxmox Mail Gateway ermöglicht uns, eine hohe Verfügbarkeit durch Cluster-Bildung zu gewährleisten. Diese Software bietet nicht nur Sicherheit gegen Spam und Viren, sondern auch eine flexible Verwaltung und Skalierung, die weit über die aktuelle Auslastung hinausgehen könnte.

Fazit

Die Betreuung eines Mailservers oder eines Mail-Gateway-Clusters wie bei BSNSoft IT-Dienstleistungen ist eine anspruchsvolle, aber lohnende Aufgabe. Die Realität des E-Mail-Managements ist geprägt von der Notwendigkeit, stets wachsam zu bleiben und sich den ständig entwickelnden Bedrohungen anzupassen. Unser System zeigt, dass mit der richtigen Software und einer durchdachten Architektur auch eine kleinere Infrastruktur die Komplexität des modernen E-Mail-Verkehrs meistern kann. Es ist ein kleines Fenster in die weite Welt des Netzwerkmanagements, das zeigt, was auf dem Spiel steht und was erreicht werden kann.

Meine neueste Drucker-Herausforderung: Ein kleines Abenteuer mit Lexmark MC3326

Heute möchte ich eine interessante Erfahrung aus meiner Arbeit bei BSNSoft IT Dienstleistungen teilen.
Vor kurzem wurde ich zu einem Kunden gerufen, um ein Problem mit einem brandneuen Lexmark-Drucker zu lösen. Das Hauptproblem? Das Administrationspasswort war unbekannt. Eine schnelle Google-Suche brachte viele Informationen zu verschiedenen Lexmark-Modellen, aber nichts zu diesem speziellen Gerät. Nachdem ich etwa eine Stunde lang verschiedene Lösungen ausprobiert hatte, entschied ich mich, den Support anzurufen.
Die Supporterfahrung war ziemlich intensiv. Ich musste unzählige Daten angeben: Seriennummer, Standort des Druckers, eine Fallnummer notieren (CAS-3206000-F9Z0***, via Telefon), und mehr. Dann erhielt ich eine E-Mail, in der ich (hand)schriftlich bestätigen musste, dass ich berechtigt bin, das Gerät zurückzusetzen. Ein bisschen übertrieben für einen Drucker, oder?

Die Lösung kam schließlich per Rückruf (etwa nach 30 Minuten – top!):
1. Drucker ausschalten.
2. Papierfach entfernen.
3. Drucker anschalten.
4. 5 Sekunden warten.
5. Papierfach wieder einschieben.
6. “DIAGNOSEMODUS” wird auf dem Display angezeigt.
7. Aktivieren und Booten.
8. Geräteeinstellungen können über ein Menü gelöscht werden

Eine interessante Lösung, die sicherlich auch auf der Webseite hätte stehen können. In der Uni nannten wir das “Security by Obscurity”. Ein Reset-Knopf an der Rückseite des Geräts hätte es sicher auch getan.

Trotz dieses kleinen Abenteuers ist der Drucker an sich hervorragend. Einfaches und schnelles Setup, auch für Laien geeignet, und die Leistung ist beeindruckend.