Il 20/06/2014 17:07, Alessio Cecchi ha scritto: > negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci > indicano che c'è stato un notevole incremento dell'invio di spam (o > almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da > parte di account email con password troppo semplici o "rubate" ad opera > di malware/virus (immagino) presenti cui PC degli utenti.
Anche noi abbiamo la sensazione che sia un trend in crescita, cominciato in massa qualche mese fa > Addirittura abbiano notato l'accesso al servizio SMTP autenticato a > caselle email che non eseguivano login da molto tempo (e con password > non banali), segno che tali furti delle credenziali erano stati compiuti > molto tempo a dietro ma che solo ora sono entrati in azione. confermo, casi analoghi stessa sensazione > L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre > da IP di Asiatici/Est Europei ma in qualche caso ho notato anche accessi > da IP "nostrani". prevalentemente cina, resto un po' di tutto > L'impressione mia è che qualcuno raccolga queste password mediante > "virus", poi le venda a qualcuno che quando ne ha un buon numero o > riceve una "commessa" lancia l'invio di spam. anch'io l'ho pensato, ma nulla di concreto, solo supposizione > Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus > DROP) per limitare le connessioni da questi IP, a protezione di un SMTP > autenticato? bella domanda, non so. Tutto dipende da dove/come si originano le connessioni, se si tratta di connessioni consumer "infette" probabilmente hanno ip dinamico e non si fa nulla Ciao A ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
