El Sábado, 29 de Diciembre de 2007, Carlos E. R. escribió:
Supongo que te refieres a rechazar un correo una vez recibido entero, en cuyo caso se devuelve a la dirección del "from", que puede ser totalmente inocente.
* Los ataques de spam, mejor de denegacion de servicio vial mail, son en la practica inevitables.
Pero rechazar el correo durante la negociación inicial le deja la patata caliente al servidor que está tratando de endosarte el spam, y se entiende que es lo correcto.
* En una situacion "normal" reject por uknow destination o chequeo de recipient account vale, pero ante un ataque yo los descarto al menos hasta que consiga de otras formas parar el golpe, ya que no evita proceso de forma relevante, el problema no suele ser "la maquina" salvo tcp, si no la cañeria y la politica de pegarse contra un spammer o una victima es perdida de tiempo, si es un spammper "legitimo" tiene mas medios que tu que yo y que novell juntos, mal asunto que se tome interes y si es un pringao o un gilipollas que acaba de leer una revista, puedes verte implicado con terceros de mala manera.
He oído de gente que hace análisis de contenido en línea, en vez de en diferido como es habitual, no aceptando el correo si ve algo raro antes de terminar la recepción. No recuerdo quien dijo que usaba eso en la lista inglesa. Claro que eso será inviable en la situación que nos ocupa, de miles de correos por segundo.
* Esta es la cuestion es un ataque, ergo se ha de tratar como ataque y lo mejor es hacerse el "orejas" y si no puedes pues a luchar, acometer el trafico con los relays y otras cosas, ajustar las ventanas tcp, etc para impedir que se desborde el logico escalado finito de la implementacion de la pila tcp/ip que use el sistema en cuestion, en estas situaciones NO es relevante la perdida de correo legitimo, se trata de que te dejen en paz cuanto antes.
¿Se podrían aplicar reglas para denegar por IP ciertas zonas geográficas, en el cortafuegos?
* Si -m geoip (geoip instalado/activado claro) usese DROP o lo que convenga, lease para permitir ssh solo desde españa, etc, es decir sentencias directas o contrarias. * Denegar todos excepto desde TW iptables -A INPUT -p tcp --dport 25 -m geoip ! --src-cc TW -j REJECT * Una para salida generica (todo el protocolo tcp) a taiwan * iptables -A OUTPUT -p tcp -m geoip --dst-cc TW -j REJECT
O enrutarlos a diferentes servidores
* Me imagino lo que quieres, pero me parece que lo que se puede (lo que yo se) no es lo que quieres o lo que imaginas y en este caso no ayuda es mas perjudica pones un "hombre en medio" legitimo a no ser que quieras es utilizar un fronted intermedio (pero esto es ni mas ni menos que los "solo relays" "aguas arriba"), como cuestion orientativa para no irnos por las ramas lee el apartado ip_forward a ip's publicas en /etc/sysconfig/SuSEfirewall2 esto hace un puente o abre una conexion directa (hace un reenvio de trafico), pero estas consumiendo conexion de el "reenviador", para lo que creo que quieres los tiros van por "el otro lado". * En cualquier caso dado el asunto, en cuanto pasemos una fina linea entramos en terrenos procelosos para segun que denegaciones y en que nivel de la pila se ha defender, y para lo que hagamos ante un ataque pueden ser mas efectivos los ficheros access y los tiempos de espera para recibir los comandos HELO/EHLO, mi experiencia es es estar preparado, esto significa tener preparados y listos para entrar en funcionamiento distintos metodos, para hacer frente a ataques esporadicos persistentes, sospecha de profesionales detras, etc, esto implica tener preparadas configuraciones, dns, los relays o proxis y los metodos de bloqueo y ponerlos en funcionamiento en minutos en funcion de la jugada, por que la realidad (que deberia ser de otra manera) es que esto por defecto en operacion normal por culpa de los contrarios (emisores legitimos, mal configurados, sin ciertos soportes, etc), y propias de redes extensas (aplicaciones que no soportan metodos de envio de cifrado/encapsulado, etc, etc,) es en la practica casi imposible de tener (repito en operacion normal) so pena de estarte partiendo la cara a diario con propios y extraños, lo que hago es aferrar al maximo lo que puedo y cuando llueve abrir los distintos paraguas.