[Postfix-es] Ataque? Correo inexistente.

[Germán Poó Caamaño]

On Tue, 2007-06-12 at 15:25 -0400, Bruno Barrera C. wrote:
> [...]
> Hola Mario,
> 
> 	Gracias por la ayuda. Aca tambien corriendo Debian Etch y me acabo de 
> actualizar a la version que indicas.
> 
> La verdad que al final el correo es rechazado y todo sin problemas, si 
> lo que me tiene jodido es que siguen enviando correos a esa direccion y 
> aunque finalmente es rechazado y todo le "ocupa tiempo a postfix", ese 
> es mi problema, pero bueno, dado que son como 200 mailservers, voy a 
> tener que enviar correos simplemente a los hostmasters.
> 
> Estuve revisando /etc/init.d/postfix y /etc/default/postfix y no 
> encontre nada relacionado con el nivel de logs que esta generando. Donde 
> podre buscar dicha informacion?

$ postconf | grep log

> Lo otro, en que caso es bueno usar:
> 
> smtpd_helo_required = yes

Yo lo uso siempre.  Es de cortesía saluda cuando entras a un lugar :-)

En todo caso, el tipo de ataque es una conocida técnica de SPAM
en la que buscan utilizar tu servidor como reflector de SPAM.
Puedes buscar por 'SPAM bounce' o 'backscatter'.

La idea es la siguiente:
- Envío un correo inexistente en tu dominio, cuyo remitente
  es la víctima del spam.
- Tu servidor envía un mensaje que el destinatario no existe.
  Ahora 'víctima' recibe el SPAM desde tu servidor.

Para evitarlo, debes rechazar el mensaje *antes* de llegar a
la etapa del DATA en la transacción SMTP.

Tu servidor, muy probablemente, acepte el mensaje (MAIL FROM,
RCPT TO, DATA) y luego lo procesa.  Allí ya recibiste el
mensaje y tu te encargas de procesarlo.  Y tú le envías
un mensaje (rebote) a la víctima.

http://www.postfix.org/LOCAL_RECIPIENT_README.html

-- 
Germán Poó Caamaño
Concepción - Chile