Ciao,
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'è stato un notevole incremento dell'invio di spam (o
almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
parte di account email con password troppo semplici o "rubate" ad opera
di malware/virus (immagino) presenti cui PC degli utenti.
Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
caselle email che non eseguivano login da molto tempo (e con password
non banali), segno che tali furti delle credenziali erano stati compiuti
molto tempo a dietro ma che solo ora sono entrati in azione.
L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre
da IP di Asiatici/Est Europei ma in qualche caso ho notato anche accessi
da IP "nostrani".
In questi casi il nostro sistema blocca l'accesso al servizio SMTP-Auth
ma gli utenti (esclusivamente aziendali) non sembrano essere preoccupati
dal fatto che qualcuno abbia le credenziali per accedere alla loro
casella email (o magari nemmeno lo comprendono).
Avete notato anche voi fenomeni di questo genere?
L'impressione mia è che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.
Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un SMTP
autenticato?
Grazie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
