[postfix-es] Postfix y cuentas smtp hackeadas
Federico Alberto Sayd
fsayd en uncu.edu.ar
Vie Mayo 3 18:19:41 CEST 2013
On 03/05/13 13:18, j.sejo1 en gmail.com wrote:
> Yo uso fail2ban sobre sasl. Le digo que al 4to intento fallido de autenticacion smtp en menos de 1 minuto bloquee la ip de origen por 1 hora, esto a su vez me envia un correo con la ip bloqueada (por iptables) con esto verifico en los log y compruebo. Vas a tener usuarios normales que se bloqueen por poner la clave mal, pero serán 1 por dia.
>
> La mayoria de los ataques, no solo de sasl para smtp sino de pop, los recibo de china y otros países asiáticos.
>
> Fail2ban aplica para varios servicios que autentiquen y escupan log de los intentos de autenticacion. Es muy útil.
>
>
> Enviado desde mi celular
>
> -----Original Message-----
> From: Rodrigo Cortes<rcortes en opv.cl>
> Sender: "postfix-es"<postfix-es-bounces+j.sejo1=gmail.com en lists.wl0.org>Date: Fri, 3 May 2013 16:11:58
> To: Foro Postfix<postfix-es en lists.wl0.org>
> Subject: Re: [postfix-es] Postfix y cuentas smtp hackeadas
>
> Ahahaha!!! Eso es como preventivo, lo de cambiarle la clave es lo que uso, pero como detectarlo y bloquearlo rápidamente!?
>
> -----Mensaje original-----
> De: j.sejo1 en gmail.com [mailto:j.sejo1 en gmail.com]
> Enviado el: viernes, 03 de mayo de 2013 12:10
> Para: Rodrigo Cortes; Foro Postfix
> Asunto: Re: [postfix-es] Postfix y cuentas smtp hackeadas
>
> Pues cambia la clave del usuario. Y obliga a los demas a cambiar la contrasena por claves robustas.
> Enviado desde mi celular
>
> -----Original Message-----
> From: Rodrigo Cortes<rcortes en opv.cl>
> Sender: "postfix-es"<postfix-es-bounces+j.sejo1=gmail.com en lists.wl0.org>Date: Fri, 3 May 2013 16:06:10
> To: postfix-es en lists.wl0.org<postfix-es en lists.wl0.org>
> Subject: [postfix-es] Postfix y cuentas smtp hackeadas
>
> Hola a todos!!!
>
> Alguno de uds. Sabra como bloquear una cuenta que ha sido hackeada para que el server no termine en black list? Alguna forma de prevenir esto!?
>
> Saludos.
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
Puedes usar fail2ban sobre los logs de Postfix siempre y cuando tengas
autenticacion SASL activada. Otra forma es haciendolo sobre los logs de
tu webmail si es que tratan de ingresar por ese lado. Con squirrelmail
tienes que activar un pluggin de loggin y luego configurar el fail2ban.
Saludos
Más información sobre la lista de distribución postfix-es