[postfix-es] Postfix y cuentas smtp hackeadas
Jorge Concha
jac en cec.uchile.cl
Mie Jun 19 23:12:38 CEST 2013
Lo que yo hice, es poner un limite de cuantos mails por hora puede enviar
un usuario
autenticado por SASL.
Esto lo hice con Postfwd.
Puse un maximo de 50 mails/hora.
Esto evita que una cuenta hackeada envie mails por montones... y por lo
tanto, es menos probable
caer en listas antispam.
Lo malo: es mas dificil darse cuenta que una cuenta esta hackeada... pues
no tienes "alarmas" de envio masivo :(
Pero en nuestro caso, a resultado... desde que active ese filtro, no hemos
caido en listas antispam.
Y eso que nos han hackeado algunas cuentas de los usuarios.
Saludos
Jorge C.
On Fri, 03 May 2013 12:40:02 -0400, Iñaki Rodriguez
<irodriguez en virtualminds.es> wrote:
>
> Buenas,
>
> en tu caso ninguna de las opciones planteadas vale. Las conexiones que
> vas a tener son todas legitimas, sin intentos de autenticacion fallido.
> Lo que si podrias hacer es limitar la autenticacion a ips de un cierto
> pais, todo dependera del tipo de clientes que tienes, movilidad,
> localizacion, ... Al final es que tu sistema pueda identificar patrones
> fuera de lo comun. Lleva su tiempo hacerlo, claro :)
>
> Saludos!
>
>
> On 5/3/13 5:35 PM, Cesar wrote:
>> Rodrigo Cortes dijo:
>>
>> Hola a todos!!!
>>
>> Alguno de uds. Sabra como bloquear una cuenta que ha sido hackeada para
>> que
>> el server no termine en black list? Alguna forma de prevenir esto!?
>>
>> Saludos.
>> _______________________________________________
>>
>> *Remedio a Corto Plazo:*
>> Cambiar la contraseña por una de no menos de 10 caracteres, con
>> mayúsculas,
>> minúsculas, símbolos especiales y números
>>
>> *Remedio a Largo PLazo:*
>> Deberías usar algún medio de protección para intentos fallidos de
>> conexiones
>> no autorizadas, como ser la de autenticación, que generalmente estos
>> tipos
>> de ataques son provenientes de Hackers y Spammers por Internet.
>>
>> Es aquí donde fail2ban surge. Básicamente consiste en banear la IP
>> agregando
>> reglas automáticamente en caliente a iptables a fin de que el atacante
>> se
>> vea bloqueado por el Firewall.
>>
>> Yo tengo configurado esta herramienta para dovecot, sasl y postfix, y lo
>> configuré para que si en "12 horas" hay "10 intentos fallidos" lo
>> "bloquee
>> por una semana" mediante la inserción automática de reglas a iptables
>> (el
>> Firewall), entonces fail2ban le agrega a iptables una regla "DROP"
>> sobre la
>> IP de origen del atacante una vez cumplida la condición. Fail2ban
>> también
>> permite hacer excepciones usando el formato CIDR, por ejemplo podría
>> ser tu
>> LAN, algunas IPs especificas, como gustes. Creo que debería ser una
>> herramienta infaltable en todo servidor de Correo.
>>
>> Vas a trabajar un buen rato para conocer esta herramienta, hay mucha
>> documentación por Internet, y estoy seguro que te dará grandes
>> satisfacciones cuando aparezcan las IPs bloquedas dentro de las reglas
>> de tu
>> firewall.
>>
>>
>>
>> -----
>> Best Regards
>> Cesar
>> --
>> View this message in context:
>> http://postfix.1071664.n5.nabble.com/postfix-es-Postfix-y-cuentas-smtp-hackeadas-tp57689p57698.html
>> Sent from the Postfix España mailing list archive at Nabble.com.
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>> postfix-es en lists.wl0.org
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
--
Jorge C.
Más información sobre la lista de distribución postfix-es