Re: Evitar que los usuarios envíen spam
2010/8/2 Federico Alberto Sayd fs...@uncu.edu.ar
El 02/08/10 08:39, Marc Aymerich escribió:
Buenas listeros,
el otro día un spammer consiguió el password de varios usuarios del
servidor de correo y empezó a mandar spam a través de sus cuentas. Que
métodos conocéis para detectar y combatir este tipo de spam?
De entrada se me ocurre filtrar el correo saliente con mailscanner, o
mejor, utilizar un policy daemond como policyd y definir recipient
rate limits.
¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre?
Saludos!
--
Marc
Hola Marc:
A mi ha pasado justo como a ti. He configurado el servidor con todos los
filtros para que no entre spam, pero desde luego es muy difícil configurar
un servidor para filtrar lo que sale pues lo que quieres es que tus usuarios
puedan mandar correo. Claro está que el problema es cuando algún usuario
inteligente cae en la trampa de responder un correo falso donde le piden
su usuario y contraseña.
Yo para mitigar un poco el problema he hecho lo siguiente. Como mucho de
este spam salía a través de squirrelmail, instalé el plugín squirrel logger
que me informa con un correo cuando un usuario manda a más de 20
destinatarios.
Buenas,
Siguiendo las ideas de Federico esta tarde la he dedicado a hacer un script
para el /etc/cron.hourly. Funciona a partir de la base de datos del
mailwatch y manda alertas cuando un usuario manda muchos mails por hora, o a
muchos remitentes. Si alguien lo quiere aprovechar aquí lo tiene.
#!/bin/bash
# Query Mailwatch database looking for mail abuses, from authenticated
senders and relayed servers.
##
# CONFIG #
##
# This threshold configure the maximum number of recipients per time period
# Max Recipients per mail
TO_THRESHOLD_TO=25
# Max Number of mails for the same account that reach $TO_THRESHOLD_TO
TO_THRESHOLD_FROM=7
TO_INTERVAL=1 HOUR
# This threshold configure the maximum number of emails for the same account
per time period
# Max Mails per account
FROM_THRESHOLD=25
FROM_INTERVAL=1 HOUR
# Mails to scan:
# Relayed ips: like webmail server or secondary mail server.
REGEX_RELAY_IPS='78.254.514.*'
# Authenticated Senders
REGEX_AUTH_HEADER='Received:.*Authenticated sender: .*'
# Exceptions for Mailman, Mailer-Daemon and Nagios.
REGEX_MAILMAN_HEADER='\nX-Mailman-Version: 2.1.11\n'
REGEX_MAILER_DAEMON='\nFrom: mailer-dae...@mail2.organitzation.org '
NAGIOS_FROM='nag...@xarxes.organitzation.org'
# Email alert configuration
EMAIL=r...@organitzation.org
PERIOD=Hourly
MAIL_SERVER=mail.organitzation.org
# MySQL Connection Options (not implemented)
#MYSQL_HOST=
#MYSQL_DB=
#MYSAL_USER=
#MYSQL_PASS=
##
### END CONFIG ###
##
# Retrieving mailwatch information
sql_result_to=$(mysql mailscanner -e SET @mytime=(SELECT
DATE_FORMAT(SUBDATE(CURRENT_TIMESTAMP(),INTERVAL $TO_INTERVAL),'%H:%i:%s'));
SET @mydate=(SELECT DATE_FORMAT(SUBDATE(CURRENT_TIMESTAMP(),INTERVAL
$TO_INTERVAL),'%Y-%m-%d')); SELECT from_address, subject FROM maillog WHERE
((date = @mydate AND time @mytime) OR date @mydate) AND
LENGTH(to_address) - LENGTH(REPLACE(to_address, '@', ''))
$TO_THRESHOLD_TO AND (headers REGEXP $REGEX_AUTH_HEADER OR clientip REGEXP
$REGEX_RELAY_IPS) AND NOT headers REGEXP $REGEX_MAILMAN_HEADER ORDER BY
from_address;)
sql_result_from=$(mysql mailscanner -e SET @mytime=(SELECT
DATE_FORMAT(SUBDATE(CURRENT_TIMESTAMP(),INTERVAL
$FROM_INTERVAL),'%H:%i:%s')); SET @mydate=(SELECT
DATE_FORMAT(SUBDATE(CURRENT_TIMESTAMP(),INTERVAL
$FROM_INTERVAL),'%Y-%m-%d')); SELECT from_address, subject FROM maillog
WHERE ((date = @mydate AND time @mytime) OR date @mydate) AND (headers
REGEXP $REGEX_AUTH_HEADER OR clientip REGEXP $REGEX_RELAY_IPS) AND NOT
headers REGEXP $REGEX_MAILMAN_HEADER AND from_address!=$NAGIOS_FROM AND NOT
headers REGEXP $REGEX_MAILER_DAEMON ORDER BY from_address;);
# Formatting the sql output
result_to=$(echo $sql_result_to|awk {'print $1'}|grep -v
^from_address.*subject$|uniq -c);
result_from=$(echo $sql_result_from|awk {'print $1'}|grep -v
^from_address.*subject$|uniq -c);
# Looking for abuses
spamers_to=
while read line; do
mails=$(echo $line|awk {'print $1'});
if [ $mails -gt $TO_THRESHOLD_FROM ]; then
# Subject is only orientative and not necessarily the most
repeated, simply is the first one.
posible_subject=$(echo $sql_result_to|grep ${line#*' '}|head -n1)
spamers_to=$(echo -e ${spamers_to}\n$mails $posible_subject);
fi;
done EOF
$(echo $result_to);
EOF
spamers_from=
while read line; do
mails=$(echo $line|awk {'print $1'});
if [ $mails -gt $FROM_THRESHOLD ]; then
# Subject is only orientative and not necessarily the most repeated, simply
is the first one.
posible_subject=$(echo $sql_result_from|grep ${line#*'
'}|head -n1)
spamers_from=$(echo -e ${spamers_from}\n$mails
$posible_subject);
fi;
done EOF
$(echo $result_from);
EOF
# Sending mail alert
if [[ $spamers_to != ||
Re: Evitar que los usuarios envíen spam
El 03/08/10 07:55, Marc Aymerich escribió: 2010/8/2 Federico Alberto Saydfs...@uncu.edu.ar: El 02/08/10 08:39, Marc Aymerich escribió: Buenas listeros, el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? Saludos! -- Marc Hola Marc: A mi ha pasado justo como a ti. He configurado el servidor con todos los filtros para que no entre spam, pero desde luego es muy difícil configurar un servidor para filtrar lo que sale pues lo que quieres es que tus usuarios puedan mandar correo. Claro está que el problema es cuando algún usuario inteligente cae en la trampa de responder un correo falso donde le piden su usuario y contraseña. Yo para mitigar un poco el problema he hecho lo siguiente. Como mucho de este spam salía a través de squirrelmail, instalé el plugín squirrel logger que me informa con un correo cuando un usuario manda a más de 20 destinatarios. Así puedo ver si han logrado acceso a una cuenta y están enviando spam. Además loguea a mail.log otras acciones como intentos fallidos de autenticación. Por otra parte configuré fail2ban con algunas expresiones regulares para detectar las entradas de squirrel logger y si detecta envíos masivos o intentos de logueo fallido (ataques de diccionario) en un lapso de tiempo prefijado bloquea a través de iptables la dirección ip de origen de tales ataques. Claro que esto último sirve solo para squirrelmail y no te protege si entran por Se me ocurre en este momento que amavis también detecta el spam en el correo saliente de tu organización y lo marca como tal en mail.log. Se podría configurar una expresión regular que detectara la etiqueta SPAM que pone amavis a la vez que detecta también que la ip de origen sea de alguna red dentro de tu organización. Luego configurar el fail2ban para en vez de bloquear con iptables mandar un correo avisando de spam saliente. Pero ahí tendría que investigar más al respecto y ponerme de cabeza con las expresiones regulares. Otra cosa que había visto era limitar a los usuarios para que solo puedan mandar correo con la cabecera from correspondiente a su propia cuenta. Pero para hacerlo hay que configurar tablas en el postfix, en mi caso agregar el atributo mail en las entradas de ldap. Ahora mismo no recuerdo cuál es el parámetro de postfix para hacer esto (Lo tengo marcado en otro browser) Por otra parte cada vez que llega un correo pidiendo la contraseña deniego la dirección de respuesta de dicho correo en el archivo recipient_access del postfix para que no se pueda contestar. Buenas Federico, me ha gustado tu idea de mandar un mensaje avisando de que alguien está mandando mensajes a muchos destinatarios. Creo que puede ser la clave para detectar problemas como el que he tenido. Lo de bloquear la respuesta con el recipient_access del postfix puede ser una buena medida cuando detecte que llegan mensajes pidiendo contraseñas. Tomo nota :) saludos y gracias!! Marc Encontré el link que te comentaba. Se trata de evitar el spoofing de direcciones. Para lo cual Postfix chequea que el usario que hizo login usando smtp_auth (SASL) corresponda con el usuario autorizado en una tabla especial donde se indica de a pares el usuario con la dirección de correo que debería tener cuando trata de enviar. Si no corresponde con lo que dice la tabla, entonces no deja salir el correo. El link es el siguiente: http://www.felipe-alfaro.org/blog/2006/02/19/block-sender-address-spoofing-with-smpt-auth/ Te servirá si usas Postfix (Si no, es un buen momento para plantearse usarlo :-) ) También se puede usar consultando ldap, aquí dicen un poco más: http://www.irbs.net/internet/postfix/0403/0080.html Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c598df7.5090...@uncu.edu.ar
Re: Evitar que los usuarios envíen spam
2010/8/2 Federico Alberto Sayd fs...@uncu.edu.ar: El 02/08/10 08:39, Marc Aymerich escribió: Buenas listeros, el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? Saludos! -- Marc Hola Marc: A mi ha pasado justo como a ti. He configurado el servidor con todos los filtros para que no entre spam, pero desde luego es muy difícil configurar un servidor para filtrar lo que sale pues lo que quieres es que tus usuarios puedan mandar correo. Claro está que el problema es cuando algún usuario inteligente cae en la trampa de responder un correo falso donde le piden su usuario y contraseña. Yo para mitigar un poco el problema he hecho lo siguiente. Como mucho de este spam salía a través de squirrelmail, instalé el plugín squirrel logger que me informa con un correo cuando un usuario manda a más de 20 destinatarios. Así puedo ver si han logrado acceso a una cuenta y están enviando spam. Además loguea a mail.log otras acciones como intentos fallidos de autenticación. Por otra parte configuré fail2ban con algunas expresiones regulares para detectar las entradas de squirrel logger y si detecta envíos masivos o intentos de logueo fallido (ataques de diccionario) en un lapso de tiempo prefijado bloquea a través de iptables la dirección ip de origen de tales ataques. Claro que esto último sirve solo para squirrelmail y no te protege si entran por Se me ocurre en este momento que amavis también detecta el spam en el correo saliente de tu organización y lo marca como tal en mail.log. Se podría configurar una expresión regular que detectara la etiqueta SPAM que pone amavis a la vez que detecta también que la ip de origen sea de alguna red dentro de tu organización. Luego configurar el fail2ban para en vez de bloquear con iptables mandar un correo avisando de spam saliente. Pero ahí tendría que investigar más al respecto y ponerme de cabeza con las expresiones regulares. Otra cosa que había visto era limitar a los usuarios para que solo puedan mandar correo con la cabecera from correspondiente a su propia cuenta. Pero para hacerlo hay que configurar tablas en el postfix, en mi caso agregar el atributo mail en las entradas de ldap. Ahora mismo no recuerdo cuál es el parámetro de postfix para hacer esto (Lo tengo marcado en otro browser) Por otra parte cada vez que llega un correo pidiendo la contraseña deniego la dirección de respuesta de dicho correo en el archivo recipient_access del postfix para que no se pueda contestar. Buenas Federico, me ha gustado tu idea de mandar un mensaje avisando de que alguien está mandando mensajes a muchos destinatarios. Creo que puede ser la clave para detectar problemas como el que he tenido. Lo de bloquear la respuesta con el recipient_access del postfix puede ser una buena medida cuando detecte que llegan mensajes pidiendo contraseñas. Tomo nota :) saludos y gracias!! -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlkti=zudwsyrc94aw_jt=iqfm-+dt+op-29wmmf...@mail.gmail.com
Evitar que los usuarios envíen spam
Buenas listeros, el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? Saludos! -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimhosjklmsdlfttd87ot3i_3bm7tsph5pjsu...@mail.gmail.com
Re: Evitar que los usuarios envíen spam
El día 2 de agosto de 2010 13:39, Marc Aymerich glicer...@gmail.com escribió: Buenas listeros, el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? Hola Marc, Un problema de seguridad como el que cuentas se debería notificar de forma inmediata y *directa* a la lista para que los usuarios cambien sus contraseñas y verifiquen que otras cuentas no se vean comprometidas. Un saludo, Julián De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? Saludos! -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimhosjklmsdlfttd87ot3i_3bm7tsph5pjsu...@mail.gmail.com -- Julian -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktin09+aau80=7tpamc+bchny+7fkg67isruec...@mail.gmail.com
Re: Evitar que los usuarios envíen spam
2010/8/2 Julian Daich julia...@gmail.com: El día 2 de agosto de 2010 13:39, Marc Aymerich glicer...@gmail.com escribió: Buenas listeros, el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? Hola Marc, Un problema de seguridad como el que cuentas se debería notificar de forma inmediata y *directa* a la lista para que los usuarios cambien sus contraseñas y verifiquen que otras cuentas no se vean comprometidas. Un saludo, Julián Hola Julián, lamento el malentendido pero el problema lo he tenido en mis servidores, por fortuna no tienen nada que ver con esta lista de correo :) Saludos De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? Saludos! -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimhosjklmsdlfttd87ot3i_3bm7tsph5pjsu...@mail.gmail.com -- Julian -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimsmky8joy+2t23uxfnhkffti07ckae+sk9p...@mail.gmail.com
Re: Evitar que los usuarios envíen spam
No conozco esos metodos, pero en sitio donde estuve usaban este metodo: Los usuarios normales podian enviar correo solo a las direcciones autorizadas, todas las demas estaban (politica por defecto) bloqueadas. La unica forma de dar de alta una direccion nueva era pasarsela por escrito al administrador de correo, y el la daba de alta. El administrador tenia varias cuentas, una de ellas de entrada general a la que llegaba de todo, entre otras cosas spam a mares. Se miraba todos los emails uno a uno, y como sabian mas o menos como eran los emails autenticos, se los cargaba casi todos. Respecto a los passwords, todos los dias habia claves nuevas. No se si te ayudara esto, de hecho no se si el metodo era bueno o era chapuza, pero a ellos les funcionaba.
Re: Evitar que los usuarios envíen spam
El Mon, 02 Aug 2010 13:39:48 +0200, Marc Aymerich escribió: el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? ¿Cómo es posible que hayan logrado adivinar la contraseña? La mayoría de bots automatizados suelen basarse en ataques de diccionario comunes :-? Yo estoy igual que tú, es decir, tengo el registro lleno de intentos de ataques a la base de datos SASL2, todos con resultado de error (el cortafuegos del router también ayuda parar las conexiones, pero alguna logra acceder e intenta iniciar sesión en cuentas inexistentes para enviar correo). A mí sólo se me ocurre que fuerces el uso de contraseñas que cumplan un mínimo de requisitos (longitud, caracteres...). El problema es que si la contraseña es la misma que la de acceso (POP3/IMAP), el usuario queda en una posición _muy_ delicada :-/ ¿Cómo evitas que alguien acceda a tu cuenta de Gmail (o envíe correo con tu dirección de e-mail) si sabe la contraseña? Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2010.08.02.12.06...@gmail.com
Re: Evitar que los usuarios envíen spam
2010/8/2 Altair Linux altairli...@gmail.com: No conozco esos metodos, pero en sitio donde estuve usaban este metodo: Los usuarios normales podian enviar correo solo a las direcciones autorizadas, todas las demas estaban (politica por defecto) bloqueadas. La unica forma de dar de alta una direccion nueva era pasarsela por escrito al administrador de correo, y el la daba de alta. El administrador tenia varias cuentas, una de ellas de entrada general a la que llegaba de todo, entre otras cosas spam a mares. Se miraba todos los emails uno a uno, y como sabian mas o menos como eran los emails autenticos, se los cargaba casi todos. Respecto a los passwords, todos los dias habia claves nuevas. No se si te ayudara esto, de hecho no se si el metodo era bueno o era chapuza, pero a ellos les funcionaba. Buenas Altair, El sistema que comentas parece bueno para combatir el spam. Lo malo es que la libertad del usuario queda reducida a la mínima expresión. Lamentablemente para el tipo de servicios que ofrecemos no podemos aplicar estas restricciones :( saludos! -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktiknnwakzoh1r_o_-zumtsnh92+4+abxpvkku...@mail.gmail.com
Re: Evitar que los usuarios envíen spam
2010/8/2 Camaleón noela...@gmail.com: El Mon, 02 Aug 2010 13:39:48 +0200, Marc Aymerich escribió: el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? ¿Cómo es posible que hayan logrado adivinar la contraseña? La mayoría de bots automatizados suelen basarse en ataques de diccionario comunes :-? Yo estoy igual que tú, es decir, tengo el registro lleno de intentos de ataques a la base de datos SASL2, todos con resultado de error (el cortafuegos del router también ayuda parar las conexiones, pero alguna logra acceder e intenta iniciar sesión en cuentas inexistentes para enviar correo). A mí sólo se me ocurre que fuerces el uso de contraseñas que cumplan un mínimo de requisitos (longitud, caracteres...). El problema es que si la contraseña es la misma que la de acceso (POP3/IMAP), el usuario queda en una posición _muy_ delicada :-/ ¿Cómo evitas que alguien acceda a tu cuenta de Gmail (o envíe correo con tu dirección de e-mail) si sabe la contraseña? Buenas Camaleón, ¿para que usar fuerza bruta si tus usuarios son tan ingenuos de responder a mensajes como este? Su cuenta de correo electrónico es necesario mejorar, con nuestro nuevo F-Secure ® HTK4S anti-virus/anti-spam 2010-versión. Rellene las columnas de abajo o su cuenta será temporalmente excluidos de nuestros servicios. E-mail: Contraseña: Teléfono: * Tenga en cuenta que la contraseña está cifrada con De 1024-bit RSA claves para mayor seguridad. jejeje, pues si, 3 usuarios lo contestaron. Saludos, saludos. -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2010.08.02.12.06...@gmail.com -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktin5hdrlnfmtpxofsuhauuhx-4xqonucukkdc...@mail.gmail.com
RE: Evitar que los usuarios envíen spam
Hola Marc: Quizás necesites una solución global de antispam para que este tipo de mensajes no te lleguen. Lo que no sé es cuál recomendarte, pero quizás esto te haya proporcionado una idea. 2010/8/2 Camaleón noela...@gmail.com: El Mon, 02 Aug 2010 13:39:48 +0200, Marc Aymerich escribió: el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? ¿Cómo es posible que hayan logrado adivinar la contraseña? La mayoría de bots automatizados suelen basarse en ataques de diccionario comunes :-? Yo estoy igual que tú, es decir, tengo el registro lleno de intentos de ataques a la base de datos SASL2, todos con resultado de error (el cortafuegos del router también ayuda parar las conexiones, pero alguna logra acceder e intenta iniciar sesión en cuentas inexistentes para enviar correo). A mí sólo se me ocurre que fuerces el uso de contraseñas que cumplan un mínimo de requisitos (longitud, caracteres...). El problema es que si la contraseña es la misma que la de acceso (POP3/IMAP), el usuario queda en una posición _muy_ delicada :-/ ¿Cómo evitas que alguien acceda a tu cuenta de Gmail (o envíe correo con tu dirección de e-mail) si sabe la contraseña? Buenas Camaleón, ¿para que usar fuerza bruta si tus usuarios son tan ingenuos de responder a mensajes como este? Su cuenta de correo electrónico es necesario mejorar, con nuestro nuevo F-Secure ® HTK4S anti-virus/anti-spam 2010-versión. Rellene las columnas de abajo o su cuenta será temporalmente excluidos de nuestros servicios. E-mail: Contraseña: Teléfono: * Tenga en cuenta que la contraseña está cifrada con De 1024-bit RSA claves para mayor seguridad. jejeje, pues si, 3 usuarios lo contestaron. Saludos, saludos. -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2010.08.02.12.06...@gmail.com -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktin5hdrlnfmtpxofsuhauuhx-4xqonucukkdc...@mail.gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/e43c32bc5843e34fb4c00cdff7d801d38...@australia.prodevelop.local
Re: Evitar que los usuarios envíen spam
El día 2 de agosto de 2010 13:56, Marc Aymerich glicer...@gmail.com escribió: 2010/8/2 Julian Daich julia...@gmail.com: El día 2 de agosto de 2010 13:39, Marc Aymerich glicer...@gmail.com escribió: Buenas listeros, el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? Hola Marc, Un problema de seguridad como el que cuentas se debería notificar de forma inmediata y *directa* a la lista para que los usuarios cambien sus contraseñas y verifiquen que otras cuentas no se vean comprometidas. Un saludo, Julián Hola Julián, lamento el malentendido pero el problema lo he tenido en mis servidores, por fortuna no tienen nada que ver con esta lista de correo :) Saludos Disculpa el malentendido. Cuestión de gramática. La verdad es que tampoco se quienes son los administradores de esta lista, si es que los hay... Saludos, Julián De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? Saludos! -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimhosjklmsdlfttd87ot3i_3bm7tsph5pjsu...@mail.gmail.com -- Julian -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimsmky8joy+2t23uxfnhkffti07ckae+sk9p...@mail.gmail.com -- Julian -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlkti=ujwcdrtaw8iowp0xz4uxhtjyvu6gbkfpsx...@mail.gmail.com
Re: Evitar que los usuarios envíen spam
El Mon, 02 Aug 2010 14:12:26 +0200, Marc Aymerich escribió: 2010/8/2 Camaleón: El Mon, 02 Aug 2010 13:39:48 +0200, Marc Aymerich escribió: el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? ¿Cómo es posible que hayan logrado adivinar la contraseña? La mayoría de bots automatizados suelen basarse en ataques de diccionario comunes :-? (...) Buenas Camaleón, ¿para que usar fuerza bruta si tus usuarios son tan ingenuos de responder a mensajes como este? Su cuenta de correo electrónico es necesario mejorar, con nuestro nuevo F-Secure ® HTK4S anti-virus/anti-spam 2010-versión. Rellene las columnas de abajo o su cuenta será temporalmente excluidos de nuestros servicios. E-mail: Contraseña: Teléfono: * Tenga en cuenta que la contraseña está cifrada con De 1024-bit RSA claves para mayor seguridad. jejeje, pues si, 3 usuarios lo contestaron. Arghhh, contra eso poco puedes hacer salvo educar al usuario :-(. Como tampoco puedes impedir que le deje la contraseña a otra persona, que la pegue en un post-it a la vista de todo el mundo, que la suba a su muro de Facebook, etc... tan sólo asegúrate de que tienes cubiertas las espaldas en los términos del contrato del servicio, vamos, que la estupidez/ingenuidad (como se le quiera llamar a este tipo de acciones) no está cubierta por el proveedor de servicio ;-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2010.08.02.13.13...@gmail.com
Re: Evitar que los usuarios envíen spam
El día Monday 02 August 2010 14:12:26, Marc Aymerich dijo: Rellene las columnas de abajo o su cuenta será temporalmente excluidos de nuestros servicios. jejeje, pues si, 3 usuarios lo contestaron. En estos casos recomiendo un sartenazo a la cabeza de los usuarios. A ver si se les quita la tontería de ir dando sus datos por ahí. En otras palabras: no es un problema técnico, y no se arregla con medidas técnicas. -- Iván Sánchez Ortega i...@sanchezortega.es Un ordenador no es una televisión ni un microondas: es una herramienta compleja. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201008021702.42108.i...@sanchezortega.es
Re: Evitar que los usuarios envíen spam
2010/8/2 Iván Sánchez Ortega i...@sanchezortega.es: El día Monday 02 August 2010 14:12:26, Marc Aymerich dijo: Rellene las columnas de abajo o su cuenta será temporalmente excluidos de nuestros servicios. jejeje, pues si, 3 usuarios lo contestaron. En estos casos recomiendo un sartenazo a la cabeza de los usuarios. A ver si se les quita la tontería de ir dando sus datos por ahí. jejej , completamente de acuerdo :) En otras palabras: no es un problema técnico, y no se arregla con medidas técnicas. Bueno, si bien la causa no es puramente técnica (aunque el antispam también tiene parte de culpa por dejar pasar estos mails) si que podemos intentar buscar algunas soluciones técnicas para minimizar los daños. De momento vamos ha probar limites en el numero de emails por usuario y tiempo con Policyd. Y ya que estamos, poner también un limite ajustado en el numero de intentos de login, para los spammers que usan fuerza bruta :) Creo que poco más podemos hacer en estos casos. Saludos. -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimwxgp1wghjr4_011r9o=nf0d3kdlcdswj_2...@mail.gmail.com
Re: Evitar que los usuarios envíen spam
Hola MArc: ¿Has probado a utilizar un servicio de black lists? Quizás de esta forma puedas mitigar el envío de e-mails solicitando el tipo de información que comentas. Como te decía en un post previo, el uso de una herramienta de anti-spam te permite evitar, que por una parte te llegue este tipo de correo y por otra que tu servidor envíe de forma indiscrimada spam, puesto que además de detectar el envío de forma indiscriminada de emails, analiza el contenido de los mismos para detectar patrones de spam. Otra idea sería usar un smart host que analizará tu correo saliente y entrante detectando esto. Espero haberte ayudado. On Aug 2, 2010, at 5:45 PM, Marc Aymerich wrote: 2010/8/2 Iván Sánchez Ortega i...@sanchezortega.es: El día Monday 02 August 2010 14:12:26, Marc Aymerich dijo: Rellene las columnas de abajo o su cuenta será temporalmente excluidos de nuestros servicios. jejeje, pues si, 3 usuarios lo contestaron. En estos casos recomiendo un sartenazo a la cabeza de los usuarios. A ver si se les quita la tontería de ir dando sus datos por ahí. jejej , completamente de acuerdo :) En otras palabras: no es un problema técnico, y no se arregla con medidas técnicas. Bueno, si bien la causa no es puramente técnica (aunque el antispam también tiene parte de culpa por dejar pasar estos mails) si que podemos intentar buscar algunas soluciones técnicas para minimizar los daños. De momento vamos ha probar limites en el numero de emails por usuario y tiempo con Policyd. Y ya que estamos, poner también un limite ajustado en el numero de intentos de login, para los spammers que usan fuerza bruta :) Creo que poco más podemos hacer en estos casos. Saludos. -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimwxgp1wghjr4_011r9o=nf0d3kdlcdswj_2...@mail.gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/70f8220f-2da9-44cc-ab1e-de66a11fb...@prodevelop.es
Re: Evitar que los usuarios envíen spam
2010/8/2 Jose Manuel Blanes Pacheco jbla...@prodevelop.es: Hola MArc: ¿Has probado a utilizar un servicio de black lists? Quizás de esta forma puedas mitigar el envío de e-mails solicitando el tipo de información que comentas. Como te decía en un post previo, el uso de una herramienta de anti-spam te permite evitar, que por una parte te llegue este tipo de correo y por otra que tu servidor envíe de forma indiscrimada spam, puesto que además de detectar el envío de forma indiscriminada de emails, analiza el contenido de los mismos para detectar patrones de spam. Otra idea sería usar un smart host que analizará tu correo saliente y entrante detectando esto. Espero haberte ayudado. Buenas José, Perdona que no contestará tu primer mail, lo leí pero coincidió con la hora de comer y se me pasó responder :) Si de algo puedo estar orgulloso es de lo bien que están administrados los servidores de correo :) Todos tienen blacklist, greylist, antispam, antivirus, dkim, spf... y aun con todo parece que de vez en cuando hay algún mensaje que se cuela, pero este ya no lo volverá a conseguir :) Saludos! Marc. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/70f8220f-2da9-44cc-ab1e-de66a11fb...@prodevelop.es -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikt10wvjlqy7pio3k367svs7ltgkeotu5mwh...@mail.gmail.com
Re: Evitar que los usuarios envíen spam
El 02/08/10 08:39, Marc Aymerich escribió: Buenas listeros, el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir recipient rate limits. ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? Saludos! -- Marc Hola Marc: A mi ha pasado justo como a ti. He configurado el servidor con todos los filtros para que no entre spam, pero desde luego es muy difícil configurar un servidor para filtrar lo que sale pues lo que quieres es que tus usuarios puedan mandar correo. Claro está que el problema es cuando algún usuario inteligente cae en la trampa de responder un correo falso donde le piden su usuario y contraseña. Yo para mitigar un poco el problema he hecho lo siguiente. Como mucho de este spam salía a través de squirrelmail, instalé el plugín squirrel logger que me informa con un correo cuando un usuario manda a más de 20 destinatarios. Así puedo ver si han logrado acceso a una cuenta y están enviando spam. Además loguea a mail.log otras acciones como intentos fallidos de autenticación. Por otra parte configuré fail2ban con algunas expresiones regulares para detectar las entradas de squirrel logger y si detecta envíos masivos o intentos de logueo fallido (ataques de diccionario) en un lapso de tiempo prefijado bloquea a través de iptables la dirección ip de origen de tales ataques. Claro que esto último sirve solo para squirrelmail y no te protege si entran por Se me ocurre en este momento que amavis también detecta el spam en el correo saliente de tu organización y lo marca como tal en mail.log. Se podría configurar una expresión regular que detectara la etiqueta SPAM que pone amavis a la vez que detecta también que la ip de origen sea de alguna red dentro de tu organización. Luego configurar el fail2ban para en vez de bloquear con iptables mandar un correo avisando de spam saliente. Pero ahí tendría que investigar más al respecto y ponerme de cabeza con las expresiones regulares. Otra cosa que había visto era limitar a los usuarios para que solo puedan mandar correo con la cabecera from correspondiente a su propia cuenta. Pero para hacerlo hay que configurar tablas en el postfix, en mi caso agregar el atributo mail en las entradas de ldap. Ahora mismo no recuerdo cuál es el parámetro de postfix para hacer esto (Lo tengo marcado en otro browser) Por otra parte cada vez que llega un correo pidiendo la contraseña deniego la dirección de respuesta de dicho correo en el archivo recipient_access del postfix para que no se pueda contestar. Por último he mandado muchos mails a los usuarios advirtiendo acerca de los correos fraudulentos que piden el usuario y la contraseña, pero siempre hay usuarios que no saben leer o que creen que escribimos con gramática de traductor automático, pero algo de conciencia se ha logrado. Sí se me ocurre algo más te comento. Espero que puedas solucionar el problema. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c572b50.3030...@uncu.edu.ar
