Ciao a tutti,confermo questo andamento ormai diffuso da tempo e in questo periodo ancora più frequente.
Proprio per questo al momento utilizzo sistemi che gestiscono il rate limiting e generano alert su specifiche soglie per singolo account o dominio oltre a controllare il traffico email generato da ip/utenti autenticati in uscita.
Bisogna anche adottare politiche di cambio password anche sui mail server.....anche se gli utenti si lamentano sempre di questo.
Cybersaluti Walter Il 20/06/2014 18:02, Alberto Guglielmo ha scritto:
On 20/06/2014 17:07, Alessio Cecchi wrote:Ciao, negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci indicano che c'è stato un notevole incremento dell'invio di spam (o almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da parte di account email con password troppo semplici o "rubate" ad opera di malware/virus (immagino) presenti cui PC degli utenti. Addirittura abbiano notato l'accesso al servizio SMTP autenticato a caselle email che non eseguivano login da molto tempo (e con password non banali), segno che tali furti delle credenziali erano stati compiuti molto tempo a dietro ma che solo ora sono entrati in azione. L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre da IP di Asiatici/Est Europei ma in qualche caso ho notato anche accessi da IP "nostrani". In questi casi il nostro sistema blocca l'accesso al servizio SMTP-Auth ma gli utenti (esclusivamente aziendali) non sembrano essere preoccupati dal fatto che qualcuno abbia le credenziali per accedere alla loro casella email (o magari nemmeno lo comprendono). Avete notato anche voi fenomeni di questo genere? L'impressione mia è che qualcuno raccolga queste password mediante "virus", poi le venda a qualcuno che quando ne ha un buon numero o riceve una "commessa" lancia l'invio di spam. Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"? Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus DROP) per limitare le connessioni da questi IP, a protezione di un SMTP autenticato? Grazie ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing ListGiusto una settimana o due fa e' capitato con un account su un mio server... quasi certamente malware che ha "sgamato" le credenziali di un cliente e le ha usate per autenticarsi (SASL) ed inviare email. Io ho qualche DNSBL in atto ma non avrebbero potuto, ed in effetti non l'hanno fatto, fermare lo scherzetto... Sigh... Saluti
<<attachment: walter.vcf>>
smime.p7s
Description: Firma crittografica S/MIME
