[postfix-es] Postfix y cuentas smtp hackeadas
Joseba Torre
joseba.torre en ehu.es
Lun Mayo 6 09:07:26 CEST 2013
El 03/05/13 18:06, Rodrigo Cortes escribió:
> Hola a todos!!!
>
> Alguno de uds. Sabra como bloquear una cuenta que ha sido hackeada para que el server no termine en black list? Alguna forma de prevenir esto!?
>
Como ya te han comentado por aquí, en los últimos tiempos la mayor parte
de las veces las credenciales las roban por malware, así que de poco te
valdrá el fail2ban y cosas por el estilo.
Así rápido me vienen 2 soluciones:
1. La manual: revisar en el log cuántas veces hace smtp-auth cada
cuenta. Si ves que el número para alguna cuenta es anormal, bloquéala
(esto se puede hacer de varias formas en función de cómo hagas la
autenticación sasl, o con un check_sender_access en
smtpd_sender_restrictions). No obstante, úsalo con cuidado, porque a
veces un mensaje se queda en la bandeja de salida de un cliente (porque
es demasiado grande, por ejemplo) y se intenta enviar un montón de
veces, haciendo smtp-auth cada vez.
2. La automática: imponer un control de flujo que limite cuántos
mensajes puede enviar cada cuenta cada X tiempo. Esto lo puedes hacer
con policyd o postfwd, aunque es bastante complejo.
Espero que te ayude.
Más información sobre la lista de distribución postfix-es