2010/8/2 Federico Alberto Sayd <fs...@uncu.edu.ar>: > El 02/08/10 08:39, Marc Aymerich escribió: >> >> Buenas listeros, >> el otro día un spammer consiguió el password de varios usuarios del >> servidor de correo y empezó a mandar spam a través de sus cuentas. Que >> métodos conocéis para detectar y combatir este tipo de spam? >> >> De entrada se me ocurre filtrar el correo saliente con mailscanner, o >> mejor, utilizar un policy daemond como policyd y definir "recipient >> rate limits". >> >> ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? >> >> Saludos! >> -- >> Marc >> >> >> > > Hola Marc: > > A mi ha pasado justo como a ti. He configurado el servidor con todos los > filtros para que no entre spam, pero desde luego es muy difícil configurar > un servidor para filtrar lo que sale pues lo que quieres es que tus usuarios > puedan mandar correo. Claro está que el problema es cuando algún usuario > "inteligente" cae en la trampa de responder un correo falso donde le piden > su usuario y contraseña. > > Yo para mitigar un poco el problema he hecho lo siguiente. Como mucho de > este spam salía a través de squirrelmail, instalé el plugín squirrel logger > que me informa con un correo cuando un usuario manda a más de 20 > destinatarios. Así puedo ver si han logrado acceso a una cuenta y están > enviando spam. Además loguea a mail.log otras acciones como intentos > fallidos de autenticación. Por otra parte configuré fail2ban con algunas > expresiones regulares para detectar las entradas de squirrel logger y si > detecta envíos masivos o intentos de logueo fallido (ataques de diccionario) > en un lapso de tiempo prefijado bloquea a través de iptables la dirección ip > de origen de tales ataques. Claro que esto último sirve solo para > squirrelmail y no te protege si entran por > > Se me ocurre en este momento que amavis también detecta el spam en el correo > saliente de tu organización y lo marca como tal en mail.log. Se podría > configurar una expresión regular que detectara la etiqueta "SPAM" que pone > amavis a la vez que detecta también que la ip de origen sea de alguna red > dentro de tu organización. Luego configurar el fail2ban para en vez de > bloquear con iptables mandar un correo avisando de spam saliente. Pero ahí > tendría que investigar más al respecto y ponerme de cabeza con las > expresiones regulares. > > Otra cosa que había visto era limitar a los usuarios para que solo puedan > mandar correo con la cabecera "from" correspondiente a su propia cuenta. > Pero para hacerlo hay que configurar tablas en el postfix, en mi caso > agregar el atributo mail en las entradas de ldap. Ahora mismo no recuerdo > cuál es el parámetro de postfix para hacer esto (Lo tengo marcado en otro > browser) > > Por otra parte cada vez que llega un correo pidiendo la contraseña deniego > la dirección de respuesta de dicho correo en el archivo recipient_access del > postfix para que no se pueda contestar. >
Buenas Federico, me ha gustado tu idea de mandar un mensaje avisando de que alguien está mandando mensajes a muchos destinatarios. Creo que puede ser la clave para detectar problemas como el que he tenido. Lo de bloquear la respuesta con el recipient_access del postfix puede ser una buena medida cuando detecte que llegan mensajes pidiendo contraseñas. Tomo nota :) saludos y gracias!! -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlkti=zudwsyrc94aw_jt=iqfm-+dt+op-29wmmf...@mail.gmail.com
