Il 11/06/2013 11:45, Marco Ermini ha scritto: [...] > Mi sembra un sistema estremamente euristico e persino pericoloso - per > un paio di motivi almeno. > > Primo, i record WHOIS sono in moltissimi casi non aggiornati, e rischi > semplicemente di mandare la tua email al posto sbagliato. Credetemi, > *non esiste* un modo automatico ed affidabile di individuare il sender > di un pacchetto o di una attività su Internet. Esistono intere aziende > che si occupano *come business* di validare i sender. Concordo sull'impossibilità di individuare in automatico con certezza il record abuse@ dall'interrogazione del servizio whois molto spesso non aggiornato. Inoltre molte volte l'indirizzo abuse@ o postmaster@ che dovrebbero essere attivi sul dominio (RFC822 e RFC2142) non sono disponibili.
[...] > > La cosa più intelligente è ovviamente quella di usare un qualche sorta > di application firewall (open source o commerciale, ma consiglio di > riguardare cosa ho scritto in passato su mod_security nell'archivio > della lista...) e usare un sistema intelligente di raccolta e > correlazione dei log (se ce lo si può permettere, un SEM/SIEM), ed > agire manualmente solo *dopo* che si siano trovate attività > *rilevanti*. MAI agire in automatico, soprattutto dal singolo log. Fail2ban o similari servono per fermare in automatico un tentativo "maldestro" di accesso e sicuramente vanno bene come prima barriera. In caso di problemi continui e pesanti come hanno detto altri devi sapere esattamente cosa devi proteggere e monitorare di conseguenza. -- Ciao Mirko ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
