[postfix-es] Postfix y cuentas smtp hackeadas

[Carlos Martinez]

Saludos.
Ni clamav, MailScanner, Spamassassin, ni fail2ban sirven para para
bloquear cuentas hackeadas de SMTP.
Tampoco cambiar la clave es una medida demasiado efectiva.

En la mayoría de los casos, si se detecta una cuenta hackeada es
porque se detectaron cantidades anormales de correo provenientes de
dicha cuenta. Cómo la hackearon o más bien, cómo obtuvieron el
password de la cuenta, pudo haber ocurrido de muchas maneras y no
necesariamente están relacionadas con problemas de virus o mensajes
que piden claves. Generalmente funcionan mejor los ataques de
diccionario indiscriminados a POP3 y aquí es donde fail2ban mitiga el
problema, más no lo elimina.

Cambiar el el password o bloquear la cuenta evita que lleguen nuevos
mensajes ilegítimos al sistema pero no elimina los de las colas de
correo. Así que esta medida lo que hace es cerrar la brecha detectada
pero no evita per se, la entrada en las listas negras. Entonces,
¿habiendo llegado a este punto cómo evitarlo? con fuertes deseos y
vaciando de la cola saliente los mensajes ilegítimos tan rápido como
sea posible. Y esos pueden ser unos miles si se detecta a tiempo o
unos cientos de miles (incluso millones), si ya han pasado varios
días.

¿Cómo evitar llegar a esté punto? Implementando múltiples técnicas
para evitar que en primera instancia obtengan las contraseñas y si
ello ocurre evitar que te inyecten un millón de mensajes de SPAM en el
sistema. Estas técnicas son:

Para evitar el robo de contraseñas:
1) Compra un certificado SSL válido para tu sistema de correo, son
baratos y fáciles de obtener y te quitas el problema de los mensajes
de error del navegador.
2) Usa solamente POP3S e IMAPS (para eso es el certificado)
3) Para autenticación SMTP obliga a que primero se establezca una
conexión SSL  (para eso es el certificado)
4) Usa HTTPS para el Webmail nada de HTTP (para eso es el certificado).
5) Implementa un sistema como fail2ban para POP3, IMAP, SMTP y el
webmail. En Internet se encuentran las instrucciones para ello.
Tampoco bloquees por un día. Unos cuantos minutos está bien. No se
justifica castigar a los usuarios por digitar mal su contraseña.
6) Capacita tanto como sea posible a los usuarios. Generalmente es
poco efectivo, pero algunas semillas de conocimiento caen en buena
tierra y rinden sus frutos.
7) Implementa en el firewall un sistema de bloqueo por rangos de IPs
(los que no se usan) y por País. ¿Si no tienes usuarios en Vietnam,
para qué necesitas el POP3S y el IMAPS abiertos a sus rangos de IPs? y
si los usuarios no reciben correo de Afganistán, bien puede cerrarse
el puerto SMTP para los IPs de ese país. Los IPsets de IPTables sirven
para ello.
8) Obliga a los usuarios a que creen contraseñas decentes. Una
política razonable de contraseñas es lo indicado y nada de usar
contraseñas por defecto al crear una cuenta.

Para evitar el envío de SPAM por los formularios web:
1) Implementa capchas
2) Implementa delays en los formularios
3) Implementa direcciones de correo de destino fijas (esto aplica para
los formularios del tipo contáctenos).
2) Evita que los formularios puedan enviar a más de un remitente al
tiempo y desactiva los campos CC y BCC.
3) Implementa cualquier otra sugerencia que los colisteros propongan.
En general los formularios de correo no me gustan, porque los que he
conocido han sido muy mal programados.

Para minimizar del impacto del robo de contraseñas y el envío de SPAM:
1) Implementa un sistema de control de envío de mensajes por usuario
(cuotas por tamaño o número de mensajes por hora/dia), para eso puedes
usar postfwd o Policyd
2) Revisa los logs del sistema de correo a diario. Para ello usa
pflogsumm. Finalmente la eterna vigilancia es la mejor medida para
vivir tranquilo.


Atte.,
Carlos Andrés Martínez



2013/5/3 Rodrigo Cortes <rcortes en opv.cl>:
> Hola a todos!!!
>
> Alguno de uds. Sabra como bloquear una cuenta que ha sido hackeada para que el server no termine en black list? Alguna forma de prevenir esto!?
>
> Saludos.
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es