On 20/06/2014 17:07, Alessio Cecchi wrote: > Ciao, > > negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci > indicano che c'è stato un notevole incremento dell'invio di spam (o > almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da > parte di account email con password troppo semplici o "rubate" ad > opera di malware/virus (immagino) presenti cui PC degli utenti.
Qualche cosa di più di 15-20 giorni. Da noi si sono evidenziati problemi di questo tipo già l'anno scorso. > > Addirittura abbiano notato l'accesso al servizio SMTP autenticato a > caselle email che non eseguivano login da molto tempo (e con password > non banali), segno che tali furti delle credenziali erano stati > compiuti molto tempo a dietro ma che solo ora sono entrati in > azione. Confermo. Addirittura visto con i miei occhi spammer che vistosi bloccare un account hanno semplicemente cominciato ad usarne un altro a conferma dell'ipotesi del furto delle credenziali. > > L'accesso, con queste credenziali, ai server SMTP avviene quasi > sempre da IP di Asiatici/Est Europei ma in qualche caso ho notato > anche accessi da IP "nostrani". Noi non abbiamo riscontrato IP dell'europa occidentale. Solo Asiatici. > > In questi casi il nostro sistema blocca l'accesso al servizio > SMTP-Auth ma gli utenti (esclusivamente aziendali) non sembrano > essere preoccupati dal fatto che qualcuno abbia le credenziali per > accedere alla loro casella email (o magari nemmeno lo comprendono). Confermo l'assoluta indifferenza da parte degli "IT manager" e degli utenti. La loro unica preoccupazione è quella di non poter inviare email perche' inseriti nelle liste RBL. Tentata la via della sensibilizzazione con scarso successo, sia per clienti privanti che per quelli della PA. Noi abbiamo Inserito dei trigger in base al numero di mail inviate per avere riscontro immediato di eventuali anomalie ed abbiamo attivato il controllo antispam anche sulle email in uscita. Dove possibile abbiamo attivato i controlli sulla provenienza degli IP ed il Bann automatico dell'IP di provenienza nel caso in cui si passi una soglia massimo di invii al minuto. > > Avete notato anche voi fenomeni di questo genere? uff ;) > > L'impressione mia è che qualcuno raccolga queste password mediante > "virus", poi le venda a qualcuno che quando ne ha un buon numero o > riceve una "commessa" lancia l'invio di spam. Probabilmente ma non ho documentazione al riguardo ... La mia sensazione è che l'ipotetico malware vada a caccia dei famigerati "file delle password" che molti "responsabili IT" conservano sulle share senza manco criptarli (NC) alla faccia di tutte le norme e di tutti i best practice ;) > > Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"? > > Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus > DROP) per limitare le connessioni da questi IP, a protezione di un > SMTP autenticato? > Applicando i provvedimenti sopra descritti Noi abbiamo ottenuto ottimi risultati. Ciao ... M
