[postfix-es] Postfix y cuentas smtp hackeadas

[Iñaki Rodriguez]

Buenas,

desconozco si Postfwd registra esos mails "de mas" que intenta enviar el
usuario. De ser asi, soluciones como Ossec o Simple Event Correlator te
servirian para recibir una notificacion.

Saludos
Inaki

On 6/19/13 10:12 PM, Jorge Concha wrote:
> Lo que yo hice, es poner un limite de cuantos mails por hora puede
> enviar un usuario
> autenticado por SASL.
>
> Esto lo hice con Postfwd.
>
> Puse un maximo de 50 mails/hora.
>
> Esto evita que una cuenta hackeada envie mails por montones... y por
> lo tanto, es menos probable
> caer en listas antispam.
> Lo malo: es mas dificil darse cuenta que una cuenta esta hackeada...
> pues no tienes "alarmas" de envio masivo  :(
>
> Pero en nuestro caso, a resultado... desde que active ese filtro, no
> hemos caido en listas antispam.
> Y eso que nos han hackeado algunas cuentas de los usuarios.
>
> Saludos
> Jorge C.
>
>
> On Fri, 03 May 2013 12:40:02 -0400, Iñaki Rodriguez
> <irodriguez en virtualminds.es> wrote:
>
>>
>> Buenas,
>>
>> en tu caso ninguna de las opciones planteadas vale. Las conexiones que
>> vas a tener son todas legitimas, sin intentos de autenticacion fallido.
>> Lo que si podrias hacer es limitar la autenticacion a ips de un cierto
>> pais, todo dependera del tipo de clientes que tienes, movilidad,
>> localizacion, ... Al final es que tu sistema pueda identificar patrones
>> fuera de lo comun. Lleva su tiempo hacerlo, claro :)
>>
>> Saludos!
>>
>>
>> On 5/3/13 5:35 PM, Cesar wrote:
>>> Rodrigo Cortes dijo:
>>>
>>> Hola a todos!!!
>>>
>>> Alguno de uds. Sabra como bloquear una cuenta que ha sido hackeada
>>> para que
>>> el server no termine en black list? Alguna forma de prevenir esto!?
>>>
>>> Saludos.
>>> _______________________________________________
>>>
>>> *Remedio a Corto Plazo:*
>>> Cambiar la contraseña por una de no menos de 10 caracteres, con
>>> mayúsculas,
>>> minúsculas, símbolos especiales y números
>>>
>>> *Remedio a Largo PLazo:*
>>> Deberías usar algún medio de protección para intentos fallidos de
>>> conexiones
>>> no autorizadas, como ser la de autenticación, que generalmente estos
>>> tipos
>>> de ataques son  provenientes de Hackers y Spammers por Internet.
>>>
>>> Es aquí donde fail2ban surge. Básicamente consiste en banear la IP
>>> agregando
>>> reglas automáticamente en caliente a iptables a fin de que el
>>> atacante se
>>> vea bloqueado por el Firewall.
>>>
>>> Yo tengo configurado esta herramienta para dovecot, sasl y postfix,
>>> y lo
>>> configuré para que si en "12 horas" hay "10 intentos fallidos" lo
>>> "bloquee
>>> por una semana" mediante la inserción automática de reglas a
>>> iptables (el
>>> Firewall), entonces fail2ban le agrega a iptables una regla "DROP"
>>> sobre la
>>> IP de origen del atacante una vez cumplida la condición. Fail2ban
>>> también
>>> permite hacer excepciones usando el formato CIDR, por ejemplo podría
>>> ser tu
>>> LAN, algunas IPs especificas, como gustes. Creo que debería ser una
>>> herramienta infaltable en todo servidor de Correo.
>>>
>>> Vas a trabajar un buen rato para conocer esta herramienta, hay mucha
>>> documentación por Internet, y estoy seguro que te dará grandes
>>> satisfacciones cuando aparezcan las IPs bloquedas dentro de las
>>> reglas de tu
>>> firewall.
>>>
>>>
>>>
>>> -----
>>> Best Regards
>>> Cesar
>>> -- 
>>> View this message in context:
>>> http://postfix.1071664.n5.nabble.com/postfix-es-Postfix-y-cuentas-smtp-hackeadas-tp57689p57698.html
>>> Sent from the Postfix España mailing list archive at Nabble.com.
>>> _______________________________________________
>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>> postfix-es en lists.wl0.org
>>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>> postfix-es en lists.wl0.org
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>
>