Synology-Forum.nl
Packages => Officiële Packages => Mailplus server en client => Topic gestart door: Neo101 op 21 juni 2022, 15:04:48
-
Hallo allemaal,
Ik ben al meer dan 10 jaar een tevreden Synology gebruiker, vandaar dat ik hier nog nooit iets heb hoeven vragen. Maar nu loop ik ergens tegenaan waar ik me even geen raad mee weet. De gebruikersnaam van een van mijn mailplus accounts wordt gebruikt bij hackpogingen. Als ik deze accountnaam wijzig wordt de nieuwe naam binnen de kortste keren ook weer gebruikt. Ik heb een aantal apple apparaten waarmee ik inlog op deze account. Maar zelfs als ik de gebruikersnaam wijzig, en van te voren alle clients uitzet en zelf de nieuwe naam niet gebruik wordt deze wel binnen de kortste keren weer wel gebruikt. Ik heb al een malware scan gedaan op alle apparaten, maar deze zijn schoon. De andere 4 accounts worden overigens met rust gelaten.
Contact met de synology helpdesk heeft niets opgeleverd. De medewerker is er van overtuigd dat een van mijn computers gehackt is, en zo de informatie lekt. Ik ga niet meteen roepen dat dit niet waar is, maar het lijkt mij zeer onwaarschijnlijk. Ik ben er al weken mee bezig.
Zijn er misschien nog meer mensen hier met hetzelfde probleem ? Kan dit een lek zijn in dde mailplus software ?
Update : Ik zal hier evt. informatie toevoegen en reageren op vragen om het plaatje zo compleet mogelijk te maken. Ik heb zowel de gebruikersnaam als het wachtwoord gewijzigd. Maar alleen de gebruikersnaam wordt gebruikt, het wachtwoord niet. Er is nog geen enkele inlogpoging geslaagd. Een ip adres wordt meteen geblokkeerd bij een malafide inlog. Dus beveiliging is zo strak mogelijk.
-
Maar zelfs als ik de gebruikersnaam wijzig, en van te voren alle clients uitzet en zelf de nieuwe naam niet gebruik wordt deze wel binnen de kortste keren weer wel gebruikt.
Die gebruikersnaam is dan alleen bekend op de nas als ik het goed begrijp. Hooguit een keylogger op je PC kan deze ook weten. Maar een keylogger zou dan ook direct het wachtwoord zelf weten, dus dat zou ik uitsluiten. (Of kun je de naam aanpassen zonder iets aan het wachtwoord te veranderen?)
Dat moet dan wel iets op de nas zelf zijn. Ben benieuwd naar de reacties van anderen
-
Ik heb zowel de gebruikersnaam als het wachtwoord gewijzigd. Maar alleen de gebruikersnaam wordt gebruikt. Er is nog geen enkele inlogpoging geslaagd. Een ip adres wordt meteen geblokkeerd bij een malafide inlog. Dus beveiliging is zo strak mogelijk.
-
Hoi @Neo101 ik heb al enige tijd hetzelfde, ipv random gebruikersnamen kloppen de gebruikersnamen exact. Ze kunnen niet inloggen en worden ook bij mij meteen geweerd. Ik ben wel benieuwd of dit ergens door komt.
De inlogpogingen met dezelfde naam konen continu van verschillende ip adressen dus moet ze blokken na één foute poging om het te stoppen.
-
IK ben blij met je reactie. Want Synology is ervan overtuigd dat ik zelf het probleem ben. Heb je apple of windows ?
Wie nog ?? Ik denk dat Synology hier een nog onontdekt lek heeft, en dit niet wil repareren.
-
Apple Windows en Linux clients.
-
Wat ook opvalt, is dat het alleen de inlognamen zijn en niet de aliassen.
Ik maak wel even een ticket aan als ik weer thuis ben. Zit in Kroatië;-)
-
Dat zou fijn zijn. Mijn ticket nummer is 3101597. Wellicht kun je dat erbij vermelden
-
Doe ik.
-
Hoi heb even vanaf mijn vakantieadres een ticket aangemaakt, waar vpn allemaal niet goed voor is natuurlijk.
Ik heb jou ticket nummer meegegeven.
Ik heb even twee gebruikers aangemaakt op de NAS, één alleen aangemaakt en nooit ingelogd, de ander aangemaakt en een keer ingelogd.. even kijken wat mijn log meld in een paar dagen.
Deze reply gehad van Synology;
Dear Sir,
Thank you for contacting support and showing interest in our products.
Please allow me to answer in English as multilingual support is limited for the moment but a translation will be available at the end of this message.
Did you enable any not secure connection for your SMTP/IMAP/POP3 client?
The behavior you describe means that your whole network environment may be compromised. The way for this kind of attack to take place is probably to exploit the email automatically delivered to the administrator mailbox once a user account has been created, in order to harvest the username and use it in brute force.
You should enforce as many security measures as possible in the following list:
https://kb.synology.com/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS
First change the password of your main domain account and try to scan all your computers with an updated and efficient antivirus.
Yoiu may also check if you are concerned by this feature " icloud Private relay" being activated on your Ios device, that could explain the symptoms:
https://support.apple.com/HT212614
If not, since the issue is difficult to trace, we have to narrow it down first.
Not sure if the issue is within the server or from the clients, we will have to try one thing at a time.
1. Create a new account but do not log in.
2. Then Create a new account but login from one of the clients that you have been logged in to previously.
Try a new account for one client at a time, and let it sit for a few hours, and see if the username would be compromised.
Best regards
Uiteraard staan alle mogelijke beveiligingen zo strak mogelijk.Ik speel het even met ze mee, kijken wat eruit komt.
-
Dat was hier ook. Ik heb mijn oude ticket nog eens aangezwengelt. Maar Synology blijft erbij dat een van mijn computers een keylogger heeft. Hoewel ik al eens mijn inlognaam gewijzigd heb, en binnen 2 uur de volgende hackpoging had op de nieuwe inlognaam.
De reactie die ik ontvangen heb van Kevin:
Your situation has been reported and evaluated, it's being considered as a consequence of a computer/device that would be compromised.
I know that's not something you consider right but that's the answer i have for you.
Best regards,
-
Ik communiceer met dezelfde Kevin zo te zien. Ik hou je op de hoogte.
-
Hallo Ray308,
heb je nog iets vernomen ? Ik heb onlangs de firewall aangezet en firwall regels gemaakt zodat hackers vanuit bepaalde landen geen toegang meer hebben tot het systeem. Voor nu lijkt het te werken. Als ik je kan helpen met de firewall regels, dan schrijf maar even.
-
Hoi @Neo101
Ik heb de instructies van Synology gevolgd, was even werk, er zijn nogal wat devices verbonden met mijn NAS. Dat gaf geen uitsluitsel.
Daarna heb ik mijn firewall strakker afgesteld en wat ‘schurkenstaten’ geweigerd. Nu is het een stuk rustiger. Een keer of 5/6 per dag I.p.v. de gebruikelijke 100. Maar nog wel soms met bestaande gebruikersnamen.
Blokken staat bij mijn NAS op 1 keer binnen 1 minuut. Dus alles wat probeert in te loggen met verkeerde combi wordt onmiddellijk geblokkeerd.
-
Heb jij instructies van Synology gehad ? Of heb je ze zelf opgezocht ? Dat laatste heb ik gedaan, en ben vervolgens wat gaan experimenteren. Nu wordt ik met rust gelaten. Ik heb toegang tot de mailplus server beperkt tot de Benelux en Duitsland. Het is nl. ook mogelijk om alle landen ter wereld uit te sluiten, behalve de landen waarin ik zelf toegang wil hebben.
Het nadeel van de blokkeerlijst is dat deze niet eindeloos lang kan zijn. Anders geeft DSM de melding dat de lijst te lang is.
-
In reactie 9 staat de instructie van Synology, voor zover je daar echt iets aan hebt.
Ik blokkeer een aantal 'schurkenstaten' maar goed, een beetje hacker gebruikt een vpn voor andere geolocaties.
Komt al je mail nog aan dan als je alleen benelux en duitsland toegang bied? Ik zat zelf de denken aan de EU ofzo.
Dus een weigeren regel en alleen de EU landen open zetten.
En als je zelf ooit in een land ben die je geen toegang geeft voor mail, kun je zelf de mail natuurlijk niet ophalen. (wel met een vpn of tijdelijk toevoegen natuurlijk)
-
Die heb ik ook gekregen en gelezen. Maar ik kwam daar toen niet verder mee.
Mijn firewall regels zijn de volgende en in deze specifieke volgorde:
1. Toestaan > Specifiek IP > Range 192.168.xxx.1 tot 192.168.xxx.255 (of een andere range voor je thuis ip adressen, kan ook 10.0.xxx.xxx of 172.168.xxx.xxx zijn)
2. Toestaan > Specifiek IP > <thuis ipadres van mijn provider> (evt. opzoeken bij whatismyip.com). Extra regels hieronder als je vaker vanaf een ander vast IP adres verbinding maakt.
3. Toestaan > Locatie > <mijn landen> (in mijn geval heb ik alleen NL,BE,LUX en DE toegestaan, dat is voor mij voldoende)
4. Weigeren> Selecteren uit een lijst met ingebouwde toepassingen > <HIER ALLES AANVINKEN> met uitzondering van de diensten die je beschikbaar wil hebben. In mijn geval is dat alles waarbij gebruik gemaakt wordt van poort 80 en 443. Voor de mailserver hoef je alleen poort 143 uit te vinken.
Je kunt dit evt. testen door vanaf een google/hotmail of ander adres jezelf te mailen. Ga je op vakantie, dan kun je het vakantieland aanvinken in regel 3 voordat je gaat. Meer hoef je dan niet te doen. Ik zou het aantal aangevinkte landen zo beperkt mogelijk houden. De VPN servers worden, met je eerder gedane instellingen, toch meteen geblokkeerd. Dus daar zou ik niet wakker van liggen. Als extra beveiliging heb ik de tweestapsverificatie aangezet. Soms een beetje lastig, omdat je een code uit je telefoon over moet tikken, maar het werkt goed
De instellingen in de mailplus software zie je in de bijgevoegde screenshots.
Bij mij zijn de "foute" meldingen verdwenen als sneeuw voor de zon. Hoewel ik nog steeds van mening ben dat er een lek is in de mailplus software. Hoe kunnen anders inlognamen, die niets met het mailadres te maken hebben, binnen 2 uur gevonden worden.
Laat me even weten of je er iets aan hebt gehad.
-
@Neo101 lijkt de configuratie van mariushosting.com wel ;-). (Veel info te vinden in het Engels)
Mijn firewall:
Regel 1: toestaan lan 192.168.23.0/24
Regel 2: weigeren landen (Iran Belarus Rusland noord Korea enz)
Regel 3: toestaan webserver / mailserver (mijn website hoeft niet voor heel de wereld bereikbaar te zijn)
Landen benelux / Duitsland / usa (veel mailverkeer met usa) en A1 en A2 (de eerste tweet keuzes bij locaties)
Regel 4: toestaan poorten voor communicatie tussen nassen / land Nederland (alle nassen staan in nl)
Regel 5: weigeren alles / alles
Inlogpogingen voor Postfix (mailserver plus) nu gereduceerd tot zo goed als nul.
Uiteraard op de mailserver alleen ssl/ssh poorten dus 143 / 110 e.d. worden niet gebruikt.
-
@Ray308 : Regel 2 is hier overbodig. Dit wordt al door je regel 5 verzorgd.
-
Al dat geo-blocken is leuk en aardig, maar eigenlijk is de kern van de zaak nog niet helemaal helder ?
HOE komen je gebruikersaccounts/logins bij hackers/scripters/bots zodat die inlog-pogingen kunnen doen ?!
Of proberen ze eerder vanuit email-adressen die verzameld zijn 1 of andere login te destilleren ?
Want ik zou me best ongerust maken zeker als je zelf alles host etc.
-
Heel eenvoudig, die hackers hebben daar programmatuur voor en zoeken heel internet af om te kijken of ze kunnen inloggen.
-
Jaja, dat weet ik ook wel.
Wat wel hééél speciaal zou zijn is dat als ik een specifieke login voor een mailbox heb aangemaakt vb postbus342 als login-naam dat NET die login-naam OOK geprobed gaat worden!
Als bij mailplus de LOGIN = EMAIL-ADRES of ALIAS tja, dan is het een héél ander verhaal.
mailadressen & aliassen lekken nogal snel dus als dat ook je login component is....
-
@Ray308 Ik ben geen IT specialist. Ik weet overal wel iets vanaf, Ik heb de instructies van mariohosting gebruikt, maar kwam er daarmee niet uit. Ik heb zelf wat moeten experimenteren met de Firewall instellingen. Je schrijft (terecht) dat je poort 143 niet gebruikt. Maar zodra ik deze dicht zet komt er geen mail meer binnen. Ook als 993 open staat.
Ik ga een profiel maken met jouw instellingen, eens kijken of dat beter werkt.
@DSGebruiker : heb je je al eens de moeite gemaakt om een ticket aan te maken bij Synology support ? Ray308 en ik hebben dat al eens gedaan. Ze komen steevast met de melding dat je waarschijnlijk een keylogger op je apparaten in gebruik hebt. Ik zou deze zaak graag wat meer onder de aandacht willen brengen bij Synology maar ook bij de gebruikers van Mailplus. In de hoop dat ze er wat aan gaan doen, als dat al kan
-
Je schrijft (terecht) dat je poort 143 niet gebruikt. Maar zodra ik deze dicht zet komt er geen mail meer binnen. Ook als 993 open staat.
MailPlus krijgt alleen mail binnen via de smtp poorten. (vrijwel alleen via poort 25)
Als het bij jou mis gaat met poort 143, dan heeft dat niets met MailPlus van doen. Je haalt blijkbaar dingen door elkaar. Je mail-cliënt kan dan waarschijnlijk via IMAP geen mail meer ophalen van de mailplus server omdat je je mail-cliënt onveilig geconfigureerd hebt.
-
@Briolet Zoals ik al schreef, ik ben geen IT specialist. Ik twijfel dus niet aan je uitspraak en ik dingen door elkaar haal. Ik krijg dingen wel vaak aan de praat door zoeken op internet en veel uitproberen. Over het configureren van Mailplus voor dummies als ik vind ik maar weinig. Er wordt vaak wel een bepaalde basiskennis verondersteld.
Het gaat juist veel beter nu alleen poort 143 nog open staat. SMTP poorten zijn geblokkeerd in de firewall regels. Verder heb ik alleen 443 en 80 open staan
Edit : Poort 143 dichtgezet, en de mail komt nog steeds binnen. Daar ligt het dus niet aan zoals @Briolet al suggereerde. Ik wil eigenlijk een set firewall regels waarbij de mail van over de hele wereld binnen komt, maar het niet meer mogelijk is om bijvoorbeeld buiten de Benelux en Duitsland een inlogpoging te doen. Kan zoiets eigenlijk wel ?