Mail: TLS-Handshakefehler

  • Also ich führe das Problem ausschließlich darauf zurück das der Port 465 angegriffen wurde.

    IPs konnte ich von DigitalOcean, OVH und Linod feststellen. Ich habe dann immer großflächig die Netze der Angreifer per iptables gesperrt und zwar für alle Ports. Das mache ich jetzt eben die die nächsten Wochen um weitere Angriffe zu erkennen und zu blockieren.

  • Folgende IP-Bereiche habe ich aktuell gesperrt, täglich kommen aber aktuell neue hinzu:


    iptables -A INPUT -s 159.65.0.0/16 -j DROP

    iptables -A INPUT -s 122.228.10.0/24 -j DROP

    iptables -A INPUT -s 185.212.131.0/24 -j DROP

    iptables -A INPUT -s 142.93.0.0/16 -j DROP

    iptables -A INPUT -s 115.235.171.0/24 -j DROP

    iptables -A INPUT -s 162.243.0.0/16 -j DROP

    iptables -A INPUT -s 138.68.0.0/16 -j DROP

    iptables -A INPUT -s 190.85/16 -j DROP


    Des weiteren probiere ich aktuell mal an einer maschine ob ich damit das Problem etwas entschärfen kann:


    Limit Connections per IP / Host, Only allow 3 connections per client host on Port 465

    iptables -A INPUT -p tcp --syn --dport 465 -m connlimit --connlimit-above 3 -j REJECT


    Nachtrag 26.10.18

    Auf mindestens einem Server bei uns hat die Limitierung geholfen. Bei einem weiteren Angriff aus dem OVH Netz wurden nur drei Verbindungen geöffnet und der Dienst blieb für die Nutzer erreichbar.

    Problematisch ist dies halt nur das die Angriffe auch verteilt kommen könnten und dann natürlich wieder der Dienst lahm gelegt werden könnte. Aber als aktuellen Workaround hilft das schonmal.