[postfix-es] Ayuda

Cesar brain en click.com.py
Sab Abr 19 09:26:45 CEST 2014 

Puedo darte algunos consejos:

1- Configura tu postfix para limitar la cantidad de mensajes salientes. Por
decir un ejemplo en mi oficina he limitado a un Máx. de 250 mails salientes
cada 24 Horas y para todos los usuarios, siendo así, el servidor rechazará
los próximos correos salientes y enviará una notificación al remitente, por
lo que sabrás que cuenta de correo fue hackeada, además que evitarás que tu
IP de correo sea declarada en Internet como servidor SPAM (DNSBL ó RBL).
Estudia estas opciones de postfix: "smtpd_client_event_limit_exceptions",
"anvil_rate_time_unit", "anvil_status_update_time" y finalmente
"smtpd_client_message_rate_limit", hay muchos tutoriales al respecto en
Internet.

2- Tus cuentas de usuario de correo deben tener contraseñas complicadas,
mínimo 12 caracteres y con combinaciones de mayúsculas, minúsculas, números
y símbolos especiales, de este modo será más difícil para un hacker hacerte
daño.

3- Configura tu postfix para que exiga autenticación para correos saliente,
es decir cuando el destinatario del mensaje no pertenece a tu mismo dominio,
así evitarás ser un open relay.

4- Usa el software "fail2ban", éste hace bloqueo por firewall cuando eres
atacado, y esta lleno parámetros personalizables. Por decir un ejemplo, el
mio esta configurado así: En un plazo de 24 Horas luego de 10 intentos
fallidos de autenticación contra el servidor de correo, "fail2ban" bloqueará
la IP del atacante por puertos smtp, smtps, imap imaps, pop3 y pop3s durante
1 semana, siempre y cuando el ataque no provenga de mi localhost, la LAN y
algunas otras Dir. IP. que he configurado muy selectivamente. "fail2ban" se
basa en una lectura constante de los registros de autenticación fallidas del
Postifix para crear las reglas de Firewall automáticamente sobre la marcha.
Cuando uses este programa fantástico, será seguro que esos hackers buscarán
otra victima, pero recuerda que debe estar acompañado de iptables
(firewall), y de contraseñas robustas en tus cuentas de correo de Postfix.
Ah lo olvidaba, "fail2ban" también hace logs de sus actividades de bloqueo
para que estés al tanto.

Saludos cordiales
Cesar

----- Mail original ----
>Lista, buenas.
>
>Recien me levante un servidor de correos postfix, a la hora creo me lo
hackearon :(. Me podrian ayudar por favor
>
>Estan enviando correos desde mi servidor. El origen de la IP es
58.11.131.109. Ya bloquee la IP pero no creo que sea lo correcto.
>
>Viendo el log.
>
>Apr 19 00:29:08 mail amavis[26208]: (26208-02) Checking: seGNjHZ7sruM
[58.11.131.109] <[hidden email]> -> <[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>,<[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>,<[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>,<[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>,<[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>
>
>Que puedo hacer para bloquear desde postfix estos correos.
>
>Gracias de antemano.
>Saludos



-----
Best Regards
Cesar
--
View this message in context: http://postfix.1071664.n5.nabble.com/postfix-es-Ayuda-tp67207p67208.html
Sent from the Postfix España mailing list archive at Nabble.com.

Más información sobre la lista de distribución postfix-es