Fórum Root.cz
Hlavní témata => Hardware => Téma založeno: 42 09. 04. 2013, 09:56:49
-
Zdravím všechny,
spravuji několik mail serverů a pouze u jednoho zatím se nám děje, že ze schránky zákazníka odchází nespočet mailů, řádově v tisícovkách, na neexistující adresy @qq.com, @126.com, atd.
Posléze se samozřejmě vrátí několik tisíc nedoručenek a to třeba během jedné hodiny.
Bohužel zákazníci jsou klasický BFÚ a není možné s nimi tento problém vyřešit, avšak chyba je na jejich straně. Domnívám se i podle ostatních diskuzí na Goolu, že uživatel má prostě vir, či nějaký skript, který tyto maily odesílá z jeho adresy.
Mám standardní sestavu softwaru na mail serveru - Postfix, Dovecot, Clamav, Spamassasin.
Vytvořil jsem nějaká pravidla aby neodcházelo nic na adresy @qq.com apod. Ale to je řešní na dvě věci, to abych tu seděl a jen dělal pravidla dle nových domén, které jsou generovány "virem".
Pro příklad, výpis "mailq":
root@mail:~# mailq
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
469551A8C0F7 1860 Mon Apr 8 23:49:53 management@******.com
(connect to qq.net[219.232.227.198]:25: Connection refused)
95408582@qq.net
(connect to 163mx03.mxmail.netease.com[220.181.14.157]:25: Connection timed out)
awayzeng@163.com
40FE81A8C0F4 1920 Mon Apr 8 23:49:46 management@******.com
(connect to 163mx02.mxmail.netease.com[220.181.14.144]:25: Connection timed out)
chen5277065@163.com
hongjuan831003@163.com
huangxuhui8899@163.com
jasn04@163.com
jobking2008@163.com
juantao.juantao@163.com
jxwq@163.com
kui1440176061@163.com
lastway007@163.com
lhr521521@163.com
liu.jingbo@163.com
liuzhixue1984@163.com
luodan0305@163.com
lwoqf@163.com
pangzipy@163.com
4A48B1A8C138 1925 Tue Apr 9 02:08:39 management@****.com
(Host or domain name not found. Name service error for name=yahoo.cn.com type=MX: Host not found, try again)
zhuifeng123@yahoo.cn.com
(connect to 126mx00.mxmail.netease.com[123.125.50.118]:25: Connection timed out)
xue29777@126.com
yanglu0718@126.com
yolanda198225@126.com
Nejspíš nebudu první, kdo toto řeší, proto se chci zeptat zkušenějších, jak více zabezpečit mail server proti tomuto a popř. toutu diskuzí pomoci někomu dalšímu, proto žádám, zda by mohl reagovat pouze někdo, kdo tomu rozumí, žádné spekulace, nebo "koukni se na google".
Díky za vaší pomoc
-
ty klienti maj slabí hesla, bot odhalí slabé heslo a už se vesele připojuje k tobě na smtp a rozesílá spam.
koukni do logů odkud se ti hlásí do smtp session.. a pokud to není z klientského kompu tak stačí změnit heslo.
-
presne toto sa mi stalo, ked jednemu zakaznikovi uniklo heslo na smtp. Identifikuj konto, cez ktore to odchadza a mas po starosti.
-
Přesně co jsem si myslel.
Hesla jsem jim změnil ráno a poslal jim je. Zatím to vypadá, že je klid. Teď už jen sleduji fail2ban.
Jinak rady jako greylisty nebo něco takového, existuje nějaká ochrana proti odesílání v takovém množství ze smtp? Něco jako, odesláno 5 zpráv za vteřinu na stejný MX, tak dát ban.
-
hm, da sa nastavit limit sprav z jednej adresy, ale kedze tento spam rozosiela botnet, efekt limitov bude maly. pomoct by mohol blacklist na qq.com a podobne. Ja som to zistil velmi rychlo, lebo z monitoringu zacali chodit upozornenia na prilis vela sprav vo fronte.
-
Jinak rady jako greylisty nebo něco takového, existuje nějaká ochrana proti odesílání v takovém množství ze smtp?
Něco takového? http://www.postfix.org/TUNING_README.html#conn_limit
-
Jinak rady jako greylisty nebo něco takového, existuje nějaká ochrana proti odesílání v takovém množství ze smtp?
Něco takového? http://www.postfix.org/TUNING_README.html#conn_limit
Děkuji, connection limit nemůžu stáhnout. Nedávno jsem jej navyšoval díky tomu, že někteří naši klienti mají v kanceláři mnoho počítačů z jedné IP.
Zkusím na to asi napsat pravidlo do fail2ban dle parsování událostí z logu.