KeyHelp Community

Dann könnte man bei den gesperrten IPs auf den ersten Blick sehen ob sich eine Mail an abuse überhaupt lohnt.
Die Whois Abfrage ist zwar nett, aber bei 80 Einträgen eben auch mühsam.
Die Kür wäre natürlich die "abuse-mailbox" aus dem whois auszulesen und als Link mit auszugeben.
Wenn man drauf klickt werden gleich die Log Einträge die zur Sperre geführt haben in einem neuen Fenster ausgegeben

Hallo,

du kannst Fail2ban auch dahingehend konfigurieren, dass es automatisch ne Mail an den Abuse Kontakt schickt.

Hallo,

eine Anmerkung bzgl. fail2ban mit automatischem abuse Mailversand:
1. Warteschlange bei dem sendenden System wird potentiell voller, aufgrund von nicht erreichbaren remmote Mailservern oder vollen Postfächern.
2. Response Mails Müllen das eigene Postfach zu und erzeugen ggf. bei Rückfragen des ISP Handlungsbedarf.
3. Legitime User welcher sich versehentlich falsch anmelden lösen abuse Mails aus an Ihre Provider, wir hatten bereits Fälle in denen die DTAG Kundenanschlüsse "abgedreht" haben bzw. Post an diese Versendet haben.
4. Unnötiger Systemoverhead - auch wenn der Gedanke an ein "besseres Internet" toll ist, ist der Effekt = "null".
5. Potentiell werden abuse Mails als "Spam" erkannt und verringern ggf. die Reputation des Systems gegenüber anderen Mailservern, dies kann auch über die erhöhte Anzahl an ausgehendem Mailaufkommen ausgelöst werden

Viel eher sollte mittels IPset das Gröbste weggefiltert werden:
Ein paar Empfehlungen für Block/Filterlisten

+ https://feodotracker.abuse.ch/
+ https://community.emergingthreats.net/
+ https://isc.sans.edu/
+ https://talosintelligence.com/
+ https://www.spamhaus.org/drop/drop.txt
+ https://www.spamhaus.org/drop/edrop.txt
+ https://cinsarmy.com/
+ https://github.com/firehol


Auch Countryfilter für diverse Länder/VPN-Dienste/TOR/.. können implementiert werden, auch spezifisch für Ports/Protokolle.
Jedoch muss alles für die eigenen bzw. gehosteten Instanzen selbst selektiv ausgewählt werden, ob dies sinnvoll ist oder nicht.

Daniel wrote: ↑Fri 14. Feb 2025, 17:36
Viel eher sollte mittels IPset das Gröbste weggefiltert werden:
Ein paar Empfehlungen für Block/Filterlisten

+ https://feodotracker.abuse.ch/
+ https://community.emergingthreats.net/
+ https://isc.sans.edu/
+ https://talosintelligence.com/
+ https://www.spamhaus.org/drop/drop.txt
+ https://www.spamhaus.org/drop/edrop.txt
+ https://cinsarmy.com/
+ https://github.com/firehol


Auch Countryfilter für diverse Länder/VPN-Dienste/TOR/.. können implementiert werden, auch spezifisch für Ports/Protokolle.
Jedoch muss alles für die eigenen bzw. gehosteten Instanzen selbst selektiv ausgewählt werden, ob dies sinnvoll ist oder nicht.

Eindrucksvolle Liste - vielen Dank dafür!

Aber wie implementiert man diese Listen in seine KH-Installation?

Sollte es dafür schon eine Anleitung geben, wäre ich dankbar für einen Link.

Chris

Daniel wrote: ↑Fri 14. Feb 2025, 17:36 Hallo,

eine Anmerkung bzgl. fail2ban mit automatischem abuse Mailversand:
1. Warteschlange bei dem sendenden System wird potentiell voller, aufgrund von nicht erreichbaren remmote Mailservern oder vollen Postfächern.
2. Response Mails Müllen das eigene Postfach zu und erzeugen ggf. bei Rückfragen des ISP Handlungsbedarf.
3. Legitime User welcher sich versehentlich falsch anmelden lösen abuse Mails aus an Ihre Provider, wir hatten bereits Fälle in denen die DTAG Kundenanschlüsse "abgedreht" haben bzw. Post an diese Versendet haben.
4. Unnötiger Systemoverhead - auch wenn der Gedanke an ein "besseres Internet" toll ist, ist der Effekt = "null".
5. Potentiell werden abuse Mails als "Spam" erkannt und verringern ggf. die Reputation des Systems gegenüber anderen Mailservern, dies kann auch über die erhöhte Anzahl an ausgehendem Mailaufkommen ausgelöst werden

Ja das sehe ich genau so, aber wenn man ein RDNS mit Land ausgibt kann man den Einzelfall besser abschätzen.
RDNS mit dailin oder vpn würde ich nicht anschreiben.
Aber eine europäischen VPS sofort.

Wenn man dann auf den RDNS Eintrag klickt könnte ja ein Fenster aufgehen (ähnlich E-Mail an alle Benutzer) wo der Absender je nach Jail direkt als postmaster oder webmaster drin steht. Der Empfänger die abuse Adresse ist und im Text die entsprechenden Log Einträge vorkommen.
Dann wäre eine Beschwerde mit 2 Klicks erledigt.