[postfix-es] Postfix y cuentas smtp hackeadas

Cesar brain en click.com.py
Lun Mayo 6 15:59:54 CEST 2013 

*Rodrigo Cortes dijo:*

Buenas,

pues todo dependera de como tengas hecha la instalacion. Lo mas universal,
que cambies la password del usuario.

La prevencion es complicada porque, segun mi experiencia, el porcentaje mas
alto de cuentas hackeadas se deben a que se las roban a sus legitimos
usuarios a traves de algun malware. A veces los correos se mandan desde la
propia maquina y otras no. Lo suyo es que pudieras establecer un numero
maximo de correos por sender o que pudieras detectar anomalias con algun
software de correlacion de eventos. Estudia que es lo que ha pasado
exactamente, porque tambien podria tratarse de usuario == password, que
suele pasar.

Suerte 
_______________________________________________

Rodrigo, haré unos comentarios de simple lógica:

A- Si una cuenta ha sido hackeada, puede ser "solo de 2 lugares":
    1- Desde Internet hacia tu servidor de correo procurando acertar la
contraseña
    2- Debido a un Malware por infección en alguna estación de trabajo.

*Para el Caso 1:*
Con el cambio de contraseña por una robusta (ya explicado en mi post arriba)
el hacker/spammer deberá procurar acertar la contraseña nuevamente, y si la
contraseña es robusta, le costará buen tiempo e intentos poder acertar
nuevamente.

Fail2ban será una medida de prevención, ya que él puede bloquear la IP
después de "x" (número de tu elección) intentos fallidos de autenticación
(por ejemplo, En estos momentos en mi Servidor de Correo, Fail2ban ha
bloqueado 32 direcciones IP).

*Para el Caso 2:*
Básicamente existen 2 tipos de Malwares:
  1- El Malware que usa tu cliente de correo para enviar SPAM: Si tienes
instalado y bien configurado MailScanner, éste lo deberá de detectar y
obviamente detener para evitar su salida.
      Además (lo más importante), deberás corregir el problema en la
estación trabajo infectada.
  2- El Malware que tiene su propio MTA: Este no usará tu cliente de correo,
la medida preventiva (no correctiva) a usar para este tipo de problemas es
lo que siempre hacen los ISPs: bloquear el redireccionamiento del puerto 25
(SMTP) hacia Internet configurando el Firewall. De este modo "obligas" a que
tus estaciones de trabajo que usen tu Servidor de Correo para enviar correos
y no envíen correos hacia Internet directamente. Y si tu Servidor de Correo
también usa MailScanner bien configurado, éste deberá atajar los Correos
SPAM.

*Para cualquiera de los Casos:*
- Todo lo explicado arriba son medidas preventivas, muy útiles para acortar
las posibilidades de un ataque exitoso, y de hecho lo hacen en grandes
porcentajes. Yo uso todo lo explicado arriba desde hace años y hasta ahora
(felizmente) nunca me ha ocurrido un ataque exitoso, es decir mi servidor
nunca ha sido hackeado ó spameado.

- Como regla general siempre hay que revisar el maillog, éste es tu amigo y
te dirá desde que direcciones IP se están enviados correos, así podrás
detectar fácilmente el origen del correo SPAM, es decir si es desde Internet
ó desde tu LAN (verás por lo menos cientos de ellos cuanto una cuenta es
hackeada).

- Un buen antivirus (ó anti-malware): Para el Servidor de correo es muy
común usar clamav (OpenSource) aunque también hay comerciales que se
integran a MailScanner, pero para las estaciones de trabajo es recomendable
uno comercial y de alto nivel de porcentaje de detección. Los antivirus
comerciales disponen de más fondos que los libres, por lo tanto invierten
más en sus productos para ofrecer más efectividad, y te servirá como
protección para cualquier otro tipo de malware y no solo para troyanos-SPAM.
Principalmente si tus estaciones de trabajo son Windows, para Linux el
porcentaje de Malwares existentes es muy bajo en comparación.

- He visto sugerencias en este hilo como ser el de limitar la cantidad de
mensajes salientes por día, etc., yo particularmente no aplico más reglas
que las que te explico aquí, pero es muy cierto que mientras más medidas
preventivas apliques, tanto más  elevarás el grado de protección y las
posibilidad de que tu Servidor de Correo no sea spameado.

Espero que esta Introducción General sea de gran ayuda para ti y soluciones
tu problema pronto antes que figures en más listas negras SPAM.

Saludos cordiales
Cesar






-----
Best Regards
Cesar
--
View this message in context: http://postfix.1071664.n5.nabble.com/postfix-es-Postfix-y-cuentas-smtp-hackeadas-tp57689p57762.html
Sent from the Postfix España mailing list archive at Nabble.com.

Más información sobre la lista de distribución postfix-es