Rozesílání spamu přes mail server

42

  • **
  • 63
  • 42
    • Zobrazit profil
    • 42
Rozesílání spamu přes mail server
« kdy: 09. 04. 2013, 09:56:49 »
Zdravím všechny,

spravuji několik mail serverů a pouze u jednoho zatím se nám děje, že ze schránky zákazníka odchází nespočet mailů, řádově v tisícovkách, na neexistující adresy @qq.com, @126.com, atd.
Posléze se samozřejmě vrátí několik tisíc nedoručenek a to třeba během jedné hodiny.
Bohužel zákazníci jsou klasický BFÚ a není možné s nimi tento problém vyřešit, avšak chyba je na jejich straně. Domnívám se i podle ostatních diskuzí na Goolu, že uživatel má prostě vir, či nějaký skript, který tyto maily odesílá z jeho adresy.

Mám standardní sestavu softwaru na mail serveru - Postfix, Dovecot, Clamav, Spamassasin.
Vytvořil jsem nějaká pravidla aby neodcházelo nic na adresy @qq.com apod. Ale to je řešní na dvě věci, to abych tu seděl a jen dělal pravidla dle nových domén, které jsou generovány "virem".

Pro příklad, výpis "mailq":

Citace
root@mail:~# mailq
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
469551A8C0F7     1860 Mon Apr  8 23:49:53  management@******.com
                   (connect to qq.net[219.232.227.198]:25: Connection refused)
                                         95408582@qq.net
(connect to 163mx03.mxmail.netease.com[220.181.14.157]:25: Connection timed out)
                                         awayzeng@163.com

40FE81A8C0F4     1920 Mon Apr  8 23:49:46  management@******.com
(connect to 163mx02.mxmail.netease.com[220.181.14.144]:25: Connection timed out)
                                         chen5277065@163.com
                                         hongjuan831003@163.com
                                         huangxuhui8899@163.com
                                         jasn04@163.com
                                         jobking2008@163.com
                                         juantao.juantao@163.com
                                         jxwq@163.com
                                         kui1440176061@163.com
                                         lastway007@163.com
                                         lhr521521@163.com
                                         liu.jingbo@163.com
                                         liuzhixue1984@163.com
                                         luodan0305@163.com
                                         lwoqf@163.com
                                         pangzipy@163.com

4A48B1A8C138     1925 Tue Apr  9 02:08:39  management@****.com
(Host or domain name not found. Name service error for name=yahoo.cn.com type=MX: Host not found, try again)
                                         zhuifeng123@yahoo.cn.com
(connect to 126mx00.mxmail.netease.com[123.125.50.118]:25: Connection timed out)
                                         xue29777@126.com
                                         yanglu0718@126.com
                                         yolanda198225@126.com

Nejspíš nebudu první, kdo toto řeší, proto se chci zeptat zkušenějších, jak více zabezpečit mail server proti tomuto a popř. toutu diskuzí pomoci někomu dalšímu, proto žádám, zda by mohl reagovat pouze někdo, kdo tomu rozumí, žádné spekulace, nebo "koukni se na google".

Díky za vaší pomoc
« Poslední změna: 09. 04. 2013, 12:40:53 od Petr Krčmář »
42


foldy

Re:Nedoručitelné zprávy - qq.com, 126.com, 163.com, ...
« Odpověď #1 kdy: 09. 04. 2013, 10:11:41 »
ty klienti maj slabí hesla, bot odhalí slabé heslo a už se vesele připojuje k tobě na smtp a rozesílá spam.
koukni do logů odkud se ti hlásí do smtp session.. a pokud to není z klientského kompu tak stačí změnit heslo.

host

Re:Nedoručitelné zprávy - qq.com, 126.com, 163.com, ...
« Odpověď #2 kdy: 09. 04. 2013, 10:12:16 »
presne toto sa mi stalo, ked jednemu zakaznikovi uniklo heslo na smtp. Identifikuj konto, cez ktore to odchadza a mas po starosti.

42

  • **
  • 63
  • 42
    • Zobrazit profil
    • 42
Re:Nedoručitelné zprávy - qq.com, 126.com, 163.com, ...
« Odpověď #3 kdy: 09. 04. 2013, 10:23:30 »
Přesně co jsem si myslel.
Hesla jsem jim změnil ráno a poslal jim je. Zatím to vypadá, že je klid. Teď už jen sleduji fail2ban.
Jinak rady jako greylisty nebo něco takového, existuje nějaká ochrana proti odesílání v takovém množství ze smtp? Něco jako, odesláno 5 zpráv za vteřinu na stejný MX, tak dát ban.
42

host

Re:Nedoručitelné zprávy - qq.com, 126.com, 163.com, ...
« Odpověď #4 kdy: 09. 04. 2013, 11:03:30 »
hm, da sa nastavit limit sprav z jednej adresy, ale kedze tento spam rozosiela botnet, efekt limitov bude maly. pomoct by mohol blacklist na qq.com a podobne. Ja som to zistil velmi rychlo, lebo z monitoringu zacali chodit upozornenia na prilis vela sprav vo fronte.


Re:Nedoručitelné zprávy - qq.com, 126.com, 163.com, ...
« Odpověď #5 kdy: 09. 04. 2013, 11:05:11 »
Jinak rady jako greylisty nebo něco takového, existuje nějaká ochrana proti odesílání v takovém množství ze smtp?
Něco takového? http://www.postfix.org/TUNING_README.html#conn_limit

42

  • **
  • 63
  • 42
    • Zobrazit profil
    • 42
Re:Nedoručitelné zprávy - qq.com, 126.com, 163.com, ...
« Odpověď #6 kdy: 09. 04. 2013, 11:20:27 »
Jinak rady jako greylisty nebo něco takového, existuje nějaká ochrana proti odesílání v takovém množství ze smtp?
Něco takového? http://www.postfix.org/TUNING_README.html#conn_limit

Děkuji, connection limit nemůžu stáhnout. Nedávno jsem jej navyšoval díky tomu, že někteří naši klienti mají v kanceláři mnoho počítačů z jedné IP.
Zkusím na to asi napsat pravidlo do fail2ban dle parsování událostí z logu.
42