Fórum Root.cz
Hlavní témata => Server => Téma založeno: radek 28. 06. 2011, 16:15:35
-
Zdravim Vas,
nevite o nejake bezbecnostni dire, ktera by umoznovala ze serveru ziskat seznam uzivatelu? Jedna se me o tom, ze mame mailserver a posledni dobou zacaly chodit spamy od techto uzivatelu. Chodi ze zahranicni IP, ale jak se mohli dostat k tomuto seznamu?
Nebo to jen nekde pozbirali na netu? O tom celkem pochybuji.
Jedna se o debiani strojek.
-
tak prvni vec, jaka verze debianu, jake bezpecnostni zaplaty, co pouzivas jako MTA, jake vsechny aplikace na tom serveru bezi, jak moc zabezpecene to mas atd.
-
To je celkem normální, mailboxy se profláknou registrací na pochybných stránkách nebo vytahaj z jiných databází, z kontaktů na webovejch stránkách a všude tam kde se objeví mailbox. Použij Greylisting, SPF, DKIM. Popřípadě blacklisty.
-
U nás na firmě byl únik emailových účtů způsoben zavirovaným počítačem. Pak nám začaly také chodit emaily tvářící se jako lokální a od té doby chodí stále (cca rok). Odfiltrování těchto emailů v postfixu umožní zápis vaší domény do hash souboru sender s nastaveným příznakem DISCARD.
Volání teto mapy:
smtpd_sender_restrictions =
permit_mynetworks,
dalsi_pravidla,
check_sender_access hash:/etc/postfix/sender,
permit
-
taky nemyslím, že by seznamy adres unikaly přímo pošťákem. opravdu stačí jeden uživatel, který má na pc nějakého červíka a ten lokální mailboxy (adresy z nich) někam pošle. ty nejkratší nejspíš vezmou brute-force, pár jich je doplní automaticky (root, webmaster, www-data..) a zbytek z nějakého seznamu. ani bych se nedivil, kdyby to unikalo přes služby typu facebook (kterému kdekdo svěří heslo do své poštovní schránky) nebo gmail (který stejně vše indexuje).
posledních několik dní se spammeři opravdu snaží a spamassasin je na ně krátký :-( teď to často chodí z adres, které se již několik let nepoužívají-neexistujou - seznam bude pěkně starý a nebo pravidelně doplňovaný.
-
posledních několik dní se spammeři opravdu snaží a spamassasin je na ně krátký
U nás to není tak hrozné. Při objemu příchozí pošty denně cca 200 emailů proleze tak jeden spam za týden. Základem je používání globálních black listů. Nedávno jsem vybudoval na FW velkou čínskou zeď (zákaz rozsahů IP adres CN, TW, RU a ještě pár (cca 3000 záznamů)) + dopsání pár pravidel do SA a je pokoj :-)
-
zákaz rozsahů IP adres CN, TW, RU a ještě pár (cca 3000 záznamů)
no jo, ale to s cn, tw a ru nesmíš chtít komunikovat, což u nás potřebujeme :-)
-
Nemyslím si, že by šlo o chybu mailserveru, i když i z něj se většinou dá pomocí brute force seznam uživatelů vydolovat. Naprostou většinu těchto „úniků“ způsobují uživatelé rozesílající hoax (třeba nedávnou nesmyslné „chlazení popálenin moukou“), kteří navíc nikdy neslyšeli o skryté kopii (a už vůbec ne o Netiketě). Pak stačí jeden zavirovaný chudák a stovky nebo tisíce adres jsou odchyceny. Řeším to jedoduše, spamassassin vůbec nerozlišuje známé nebo neznámé adresy, ale Amavis to rozlišuje podle toho, jestli je uživatel autentizovaný (= určitě není spam, netestuje se spamassassinem) nebo není.
-
no jo, ale to s cn, tw a ru nesmíš chtít komunikovat, což u nás potřebujeme
Stydlivě klopím oči. Z východu spamu chodí opravdu hodně. Na serveru mám bloknuto cca 2 pokusy za minutu, co není na blacklistech, ale jen na tom FW.
-
Co sa tyka chodenia spamu z podvrhnutych internych adries , riesi to funkcia Validate senderhttp://sourceforge.net/apps/mediawiki/assp/index.php?title=Validate_Sender (http://sourceforge.net/apps/mediawiki/assp/index.php?title=Validate_Sender)
kazdy kto prevadzkuje mailserver by sa mal v najblizsej dobe zacat zaoberat kombinaciou viacerych bezpecnostnych rieseni nakolko standardne techniky pomaly zlyhavaju
odporucam kazdemu pozriet si assp advanced spam smtp proxy alebo podobny komercny produkt