Bezpečnostní díra v mail serveru?

radek

Bezpečnostní díra v mail serveru?
« kdy: 28. 06. 2011, 16:15:35 »
Zdravim Vas,
nevite o nejake bezbecnostni dire, ktera by umoznovala ze serveru ziskat seznam uzivatelu? Jedna se me o tom, ze mame mailserver a posledni dobou zacaly chodit spamy od techto uzivatelu. Chodi ze zahranicni IP, ale jak se mohli dostat k tomuto seznamu?
Nebo to jen nekde pozbirali na netu? O tom celkem pochybuji.
Jedna se o debiani strojek.
« Poslední změna: 28. 06. 2011, 21:14:41 od Petr Krčmář »


DarkKnight

Re: bezpecnostni dira?
« Odpověď #1 kdy: 28. 06. 2011, 16:23:57 »
tak prvni vec, jaka verze debianu, jake bezpecnostni zaplaty, co pouzivas jako MTA, jake vsechny aplikace na tom serveru bezi, jak moc zabezpecene to mas atd.

Armus

Re: bezpecnostni dira?
« Odpověď #2 kdy: 28. 06. 2011, 16:38:12 »
To je celkem normální, mailboxy se profláknou registrací na pochybných stránkách nebo vytahaj z jiných databází, z kontaktů na webovejch stránkách a všude tam kde se objeví mailbox. Použij Greylisting, SPF, DKIM. Popřípadě blacklisty.

Re: Bezpečnostní díra v mail serveru?
« Odpověď #3 kdy: 29. 06. 2011, 07:15:34 »
U nás na firmě byl únik emailových účtů způsoben zavirovaným počítačem. Pak nám začaly také chodit emaily tvářící se jako lokální a od té doby chodí stále (cca rok). Odfiltrování těchto emailů v postfixu umožní zápis vaší domény do hash souboru sender s nastaveným příznakem DISCARD. 
Volání teto mapy:

smtpd_sender_restrictions =
  permit_mynetworks,
  dalsi_pravidla,
  check_sender_access hash:/etc/postfix/sender,
  permit

alfi

  • ****
  • 324
    • Zobrazit profil
    • E-mail
Re: Bezpečnostní díra v mail serveru?
« Odpověď #4 kdy: 29. 06. 2011, 09:31:17 »
taky nemyslím, že by seznamy adres unikaly přímo pošťákem. opravdu stačí jeden uživatel, který má na pc nějakého červíka a ten lokální mailboxy (adresy z nich) někam pošle. ty nejkratší nejspíš vezmou brute-force, pár jich je doplní automaticky (root, webmaster, www-data..) a zbytek z nějakého seznamu. ani bych se nedivil, kdyby to unikalo přes služby typu facebook (kterému kdekdo svěří heslo do své poštovní schránky) nebo gmail (který stejně vše indexuje).

posledních několik dní se spammeři opravdu snaží a spamassasin je na ně krátký :-( teď to často chodí z adres, které se již několik let nepoužívají-neexistujou - seznam bude pěkně starý a nebo pravidelně doplňovaný.


Re: Bezpečnostní díra v mail serveru?
« Odpověď #5 kdy: 29. 06. 2011, 10:21:12 »
Citace
posledních několik dní se spammeři opravdu snaží a spamassasin je na ně krátký
U  nás to není tak hrozné. Při objemu příchozí pošty denně cca 200 emailů proleze tak jeden spam za týden. Základem je používání globálních black listů. Nedávno jsem vybudoval na FW velkou čínskou zeď  (zákaz rozsahů IP adres CN, TW, RU a ještě pár (cca 3000 záznamů)) + dopsání pár pravidel do SA a je pokoj :-)

alfi

  • ****
  • 324
    • Zobrazit profil
    • E-mail
Re: Bezpečnostní díra v mail serveru?
« Odpověď #6 kdy: 29. 06. 2011, 12:25:45 »
zákaz rozsahů IP adres CN, TW, RU a ještě pár (cca 3000 záznamů)
no jo, ale to s cn, tw a ru nesmíš chtít komunikovat, což u nás potřebujeme :-)

Sten

Re: Bezpečnostní díra v mail serveru?
« Odpověď #7 kdy: 29. 06. 2011, 14:02:51 »
Nemyslím si, že by šlo o chybu mailserveru, i když i z něj se většinou dá pomocí brute force seznam uživatelů vydolovat. Naprostou většinu těchto „úniků“ způsobují uživatelé rozesílající hoax (třeba nedávnou nesmyslné „chlazení popálenin moukou“), kteří navíc nikdy neslyšeli o skryté kopii (a už vůbec ne o Netiketě). Pak stačí jeden zavirovaný chudák a stovky nebo tisíce adres jsou odchyceny. Řeším to jedoduše, spamassassin vůbec nerozlišuje známé nebo neznámé adresy, ale Amavis to rozlišuje podle toho, jestli je uživatel autentizovaný (= určitě není spam, netestuje se spamassassinem) nebo není.

Re: Bezpečnostní díra v mail serveru?
« Odpověď #8 kdy: 29. 06. 2011, 14:05:01 »
Citace
no jo, ale to s cn, tw a ru nesmíš chtít komunikovat, což u nás potřebujeme
Stydlivě klopím oči. Z východu spamu chodí opravdu hodně. Na serveru mám bloknuto cca 2 pokusy za minutu, co není na blacklistech, ale jen na tom FW.

orso

Re: Bezpečnostní díra v mail serveru?
« Odpověď #9 kdy: 29. 06. 2011, 14:49:52 »
Co sa tyka chodenia spamu z podvrhnutych internych adries , riesi to funkcia Validate senderhttp://sourceforge.net/apps/mediawiki/assp/index.php?title=Validate_Sender

kazdy kto prevadzkuje mailserver by sa mal v najblizsej dobe zacat zaoberat kombinaciou viacerych bezpecnostnych rieseni nakolko standardne techniky pomaly zlyhavaju

odporucam kazdemu pozriet si assp advanced spam smtp proxy alebo podobny komercny produkt