Hola lister@s: Tengo un problema, ya llevo 5 horas de estar botando correos de mi cola de correos. Un usuario X me esta queriendo botar mi servidor de correos con envios masivos de correos. Antes de mi servidor de correos tengo un appliance antivirus y antispam que esta configurado para detener ese tipo de ataques. El atacante le pasa el correo directamente a mi servidor de correos (SUSE LES 9.0). Como puedo hacer para que mi servidor de correos no acepte solicitudes de otro equipo que no sea mi appliance antivirus y antispam? Ayuda!!!! ========================================= Alberto Rivas Técnico Especializado en Transmisión Oficina (505) 250-2700 Movil (505) 830-8640 Messenger gunlinsger@hotmail.com Correo gunlinsger@gmail.com Skype jalbertorivas =========================================
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-10-04 a las 18:41 -0600, Alberto Rivas escribió:
Tengo un problema, ya llevo 5 horas de estar botando correos de mi cola de correos. Un usuario X me esta queriendo botar mi servidor de correos con envios masivos de correos. Antes de mi servidor de correos tengo un appliance antivirus y antispam que esta configurado para detener ese tipo de ataques. El atacante le pasa el correo directamente a mi servidor de correos (SUSE LES 9.0). Como puedo hacer para que mi servidor de correos no acepte solicitudes de otro equipo que no sea mi appliance antivirus y antispam?
Hombre, pues, empieza por mirar el parámetro "mynetworks". Si lo pones así: mynetworks = 127.0.0.0/8 [::1/128] inet_interfaces = $myhostname, localhost te rechazará todo lo que no sea local. Luego, puedes jugar con la tabla access y permitir lo que venga de la IP correcta. Por ejemplo. Eso es lo más que puedo decirte con tan pocos datos. Échale un vistazo a la configuración... tienes cosas hasta para retrasar arbitrariamente las conexiones entrantes. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFJF3JtTMYHG2NR9URAqmsAJ93FeBddyklxaSFC5IxPm5DtCf6yQCfa+G+ vKO64wXMmHV3swNNKwtDtko= =dYrz -----END PGP SIGNATURE-----
Tengo un problema, ya llevo 5 horas de estar botando correos de mi cola de correos. Un usuario X me esta queriendo botar mi servidor de correos con envios masivos de correos.
Entiendo que este "botar" se refiere a que un asaltante está usando tu servidor de correo para enviar mensajes a otras máquinas.
Antes de mi servidor de correos tengo un appliance antivirus y antispam que esta configurado para detener ese tipo de ataques.
Ahí me pierdo. El anti-spam sería para correo entrante, no saliente. El atacante le pasa el correo directamente a mi servidor de
correos (SUSE LES 9.0). Como puedo hacer para que mi servidor de correos no acepte solicitudes de otro equipo que no sea mi appliance antivirus y antispam?
Un buen principio sería saber que servidor de correo usas (Postfixt, Sendmail ....) Para empezar. _PARA_ el servidor de correo. Lo fundamental es que tu máquina, de momento, solo acepte correo de tu red local. En postfixt la variable es "mynetworks=127.0.0.0/8" y luego decirle que solo escuche ahí en la variable "inet_interfaces", cambiando el "all" por "localhost". Si tienes localizada la IP de la máquina asaltante, entrala en los hosts prohibidos del cortafuegos. Si estás usando Sendmail no es necesario ponerla en el cortafuegos, ya que puedes usar la lista de sitios permitidos y denegados del propio sendmail. Si a pesar de poner tu máquina en "localhost" el problema continúa entonces es que tienes un "bicho" dentro. Como "root" mira que procesos tienes abiertos, con especial atención a los que se ejecuten en "Perl" y mira también si en /tmp hay algún script en Perl. Mírate también el directorio temporal que hay dentro de /var. En estos casos el "bicho" siempre entra por alguna aplicación que se ejecuta con Apache y que tiene alguna vulnerabilidad. Dinos que programa estás corriendo con Apache y te diré como ha entrado. :-) Si el "botar" indica que el ataque se produce en el correo entrante, todo es mucho más simple. Limítate a bloquear la IP atacante en el cortafuegos o en la lista de IP's denegadas en el caso de que uses SendMail. -- Salutacions - Saludos, Josep M. Queralt
El 5/10/06, Josep M. Queralt escribió:
Entiendo que este "botar" se refiere a que un asaltante está usando tu servidor de correo para enviar mensajes a otras máquinas.
Yo entiendo que están "saturando" su servidor de correos, es decir, que lo están "bombardeando" con peticiones de conexión, pero desde fuera.
Ahí me pierdo. El anti-spam sería para correo entrante, no saliente.
Parece un problema de exceso de peticiones de conexión. Seguramente ese "apliance" que dice actúa como una especie de filtro que detecta y rechaza posibles peticiones de conexión de spammers o virus.
Para empezar. _PARA_ el servidor de correo.
:-O Eso debería ser el último recurso. Un servicio de correo no se puede detener a la ligera si no quieres tener la centralita saturada de llamadas con clienets muy cabreados :-), o tienes un servidor de correo de backup que pueda responder. Lo suyo sería intentar detectar un patrón del atactante (direcciones IP desde donde conecta, direcciones de correo del remitente/destinatario...) para poder filtralo por algún lado. Si se trata de un problema de falta de recursos en el servidor de correo debido al ataque, se podría bajar las conexiones entrates máximas permitidas para evitar que se caiga el servidor. Saludos, -- Camaleón
Para empezar. _PARA_ el servidor de correo.
:-O
Eso debería ser el último recurso. Un servicio de correo no se puede detener a la ligera si no quieres tener la centralita saturada de llamadas con clienets muy cabreados :-), o tienes un servidor de correo de backup que pueda responder.
Esto lo decía para el caso de que se tratara de correo saliente. Y sigo manteniendo que es lo mejor que se puede hacer, por la sencilla razón de que mientras no lo pares y detectes por donde "van los tiros" el servidor está enviando miles de correos a la red. (y te lo digo por experiencia). Además tiene el efecto secundario de que muchas de las direcciones a las que manda el "servidor loco" no existen, por lo que luego te las devuelven rebotadas. :-) Aunque sea solo para limpiar la cola de mensajes es aconsejable pararlo. No lo paras "a la ligera" lo estás parando para evitar males mayores como por ejemplo entrar en listas negras. Parar el servidor un par de horas no supone ningún problema ya que no pierdes correo. Quienes tienen que mandarte algo normalmente usan un intervalo mínimo de cuatro horas antes de devolver el mensage.
Lo suyo sería intentar detectar un patrón del atactante (direcciones IP desde donde conecta, direcciones de correo del remitente/destinatario...) para poder filtralo por algún lado.
Si, en el caso de que sea un ataque de correo entrante. IP's, paises, "subject", etc.
Si se trata de un problema de falta de recursos en el servidor de correo debido al ataque, se podría bajar las conexiones entrates máximas permitidas para evitar que se caiga el servidor.
Es que ha dado muy poca información para decir más. Ni siquiera que servidor era ..... -- Salutacions - Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-10-05 a las 10:14 +0200, Josep M. Queralt escribió:
Es que ha dado muy poca información para decir más. Ni siquiera que servidor era .....
Y no ha vuelto a repiar. Le contesté de casualidad, por la hora que era, miré más tarde, y no había repondido. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFJOUZtTMYHG2NR9URAlBjAJ9NKRPLgeVWHCUAq/5qdhrgYiDl4wCcD2nC vRcchr/Apl64p51aBO8wJEE= =HK6M -----END PGP SIGNATURE-----
participants (4)
-
Alberto Rivas
-
Camaleón
-
Carlos E. R.
-
Josep M. Queralt