[postfix-es] Protección de spam en salida de correos

Federico Alberto Sayd fsayd en uncu.edu.ar
Mie Abr 3 14:53:35 CEST 2013 

On 01/04/13 12:18, Jose Pablo Rojas wrote:
> Hola a todos,
> quería consultarles algún método de protección para la salida de correos.
> Sucede lo siguiente, tengo postfix con muchos controles para no 
> recibir spam, y el envío es por correo autenticado, pero una máquina 
> se infectó de virus y está enviando multitudes de spam por la cuenta 
> de la persona y debido a eso me han baneado la IP en spamhaus.
> Ya he bloqueado el usuario y realizado el proceso de limpieza de la 
> IP, pero quisiera proteger mi sistema para que el usuario se bloquee o 
> los correos no salgan y evitar que me baneen nuevamente la IP pública.
> Gracias de antemano.
> Saludos.
>
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
Quizas te pueda servir fail2ban para detectar actividad sospechosa en 
los logs y así bloquear intentos de spammers internos. Si los tienes 
autenticados es más fácil hacerles un seguimiento. Por ejemplo si el 
ataque se hace a través de un webmail con squirrelmail, usando el plugin 
de logueo de squirrelmail junto con fail2ban se puede detectar con 
facilidad quién está haciendo envíos masivos.

Otro detalle es usar un archivo de "maps" que mapee usuario con 
dirección de from permitida; para esto defines smtpd_sender_login_maps. 
Con esto obligas a que todos los mails que mande un usuario autenticado 
salgan sí o sí con la dirección de tu dominio en el from y no con la del 
spammer, en caso contrario son rechazados. Si quieres una configuración 
sencilla en el valor de esta directiva pones un archivo con expresiones 
regulares ("regexp:") y dentro una expresión como la siguiente:

/(^.*)@(example.com)/ ${1}


Asumiendo que tu dominio es example.com, esta expresión regular chequea 
el usuario autenticado y devuelve siempre como dirección de "from" 
usuario+ en example.com.

Para que todo esto funcione en  en smtpd_sender_restrictions pones como 
primera restricción reject_authenticated_sender_login_mismatch. Con esto 
logras que cada vez que un usuario autenticado trate de enviar se 
verifique la dirección del from, si esta no coincide con tu dominio no 
le deja enviar el correo.

No es una solución para todo el spam interno pero frena a todos aquellos 
impostores que quieren usar tu correo con un "from" que no es de tu 
dominio (ej. máquinas infectadas)

Otro detalle puede ser usar algún plugin de monitoreo para ver el estado 
de la cola de correos de postfix y en caso de que pase algún valor 
establecido que te mande un correo. Por ejemplo puedes usar Nagios para 
esto. Generalmente cuando tienes algún problema de spam interno lo 
primero que salta a la vista es que la cola de correo se llena de miles 
de envíos. Luego simplemente usas postsuper para borrar los correos 
maliciosos encolados y claro buscas al culpable mirando los logs.

Saludos!

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20130403/5abf3d51/attachment.html>

Más información sobre la lista de distribución postfix-es