El 02/08/10 08:39, Marc Aymerich escribió:
Buenas listeros,
el otro día un spammer consiguió el password de varios usuarios del
servidor de correo y empezó a mandar spam a través de sus cuentas. Que
métodos conocéis para detectar y combatir este tipo de spam?
De entrada se me ocurre filtrar el correo saliente con mailscanner, o
mejor, utilizar un policy daemond como policyd y definir "recipient
rate limits".
¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre?
Saludos!
--
Marc
Hola Marc:
A mi ha pasado justo como a ti. He configurado el servidor con todos los
filtros para que no entre spam, pero desde luego es muy difícil
configurar un servidor para filtrar lo que sale pues lo que quieres es
que tus usuarios puedan mandar correo. Claro está que el problema es
cuando algún usuario "inteligente" cae en la trampa de responder un
correo falso donde le piden su usuario y contraseña.
Yo para mitigar un poco el problema he hecho lo siguiente. Como mucho de
este spam salía a través de squirrelmail, instalé el plugín squirrel
logger que me informa con un correo cuando un usuario manda a más de 20
destinatarios. Así puedo ver si han logrado acceso a una cuenta y están
enviando spam. Además loguea a mail.log otras acciones como intentos
fallidos de autenticación. Por otra parte configuré fail2ban con algunas
expresiones regulares para detectar las entradas de squirrel logger y si
detecta envíos masivos o intentos de logueo fallido (ataques de
diccionario) en un lapso de tiempo prefijado bloquea a través de
iptables la dirección ip de origen de tales ataques. Claro que esto
último sirve solo para squirrelmail y no te protege si entran por
Se me ocurre en este momento que amavis también detecta el spam en el
correo saliente de tu organización y lo marca como tal en mail.log. Se
podría configurar una expresión regular que detectara la etiqueta "SPAM"
que pone amavis a la vez que detecta también que la ip de origen sea de
alguna red dentro de tu organización. Luego configurar el fail2ban para
en vez de bloquear con iptables mandar un correo avisando de spam
saliente. Pero ahí tendría que investigar más al respecto y ponerme de
cabeza con las expresiones regulares.
Otra cosa que había visto era limitar a los usuarios para que solo
puedan mandar correo con la cabecera "from" correspondiente a su propia
cuenta. Pero para hacerlo hay que configurar tablas en el postfix, en mi
caso agregar el atributo mail en las entradas de ldap. Ahora mismo no
recuerdo cuál es el parámetro de postfix para hacer esto (Lo tengo
marcado en otro browser)
Por otra parte cada vez que llega un correo pidiendo la contraseña
deniego la dirección de respuesta de dicho correo en el archivo
recipient_access del postfix para que no se pueda contestar.
Por último he mandado muchos mails a los usuarios advirtiendo acerca de
los correos fraudulentos que piden el usuario y la contraseña, pero
siempre hay usuarios que no saben leer o que creen que escribimos con
gramática de traductor automático, pero algo de conciencia se ha logrado.
Sí se me ocurre algo más te comento. Espero que puedas solucionar el
problema.
Saludos
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]
