Re: en otra de ataque a mi servidor de correo
El día 6 de julio de 2010 19:47, Carlos Lopez the_spid...@yahoo.com escribió: Hola, Otra cosa que puedes hacer es : 1- Si tienes control sobre el router, limitar las conexiones simultaneas de las IPs, ello, dado que las empresas responsables no envían emails de forma continua, sino, que sus programas de correos (servidores) los envian entre 3/5 minutos de intervalos y cuando hay varios emails cuyo remitentes sean del mismo dominio, pues, usan la misma conexion y así se evitan el problema de ser baneados por el firewall. he estado buscando la posibilidad con iptables pero no encuentro ejemplos especificos sobre DDOS sobre el puerto 25 :( 2- Puedes también SPF sobre el Remitente, asegurándote que la dirección de origen sea válida en un dominio. ya lo tengo captura el SA junto con amavisd-new , el problema es que retrasan los mail 3- Puedes implementar el bloqueo de IP desde la aplicación de correo basado en DNSBL, ej: http://www.spamhaus.org/ lo tengo con el postfix , pero aun asi algunas no las cacha, te las posteo si me falta una me la regalas ... smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_rbl_client dnsbl.njabl.org, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org,reject_unauth_destination 4- Si tienes usuarios que revisan su email, no trates de abrir el puerto 25, sino, utiliza el smtp-ssl, pop3-ssl ó imap-ssl, de esa forma si solamente tienes un solo servidor puedes aplicar desde el firewall diferentes políticas para los diferentes servicios. esto no lo habia pensado tan asi , voy a hacer pruebas... Saludos. = -- rickygm http://gnuforever.homelinux.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikcjzkyavwxliww44qhjorbpzbx1jixwoomq...@mail.gmail.com
Re: en otra de ataque a mi servidor de correo
Hola, he estado buscando la posibilidad con iptables pero no encuentro ejemplos especificos sobre DDOS sobre el puerto 25 :( Tal vez te sirvan estas directrices que una vez yo utilice, donde se detallan, la apertura del puerto 25 (WAN -LAN) y el DOS, la apertura del smtp-ssl y el pop3-ssl, tal vez te sirvan: echo SERVICIOS de CORREO ELECTRONICO #Enmascaramos toda conexion de la WAN hacia puertos de la LAN iptables -t nat -A PREROUTING -p TCP -i $interfaz_internet --dport 25 -d $internet_ip_smtppop -j DNAT --to-destination $lan_ip_smtppop:25 iptables -t nat -A PREROUTING -p TCP -i $interfaz_internet --dport 995 -d $internet_ip_smtppop -j DNAT --to-destination $lan_ip_smtppop:995 iptables -t nat -A PREROUTING -p TCP -i $interfaz_internet --dport 465 -d $internet_ip_smtppop -j DNAT --to-destination $lan_ip_smtppop:465 #PROTECCION DE HACKEO USANDO FUERZA BRUTA para el puerto 25 iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 25 -m state --state NEW -m recent --set iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 25 -m state --state NEW -m recent --update --second 60 --hitcount 3 -j DROP iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 25 -j ACCEPT # FIN DE PROTECCION DE HACKEO USANDO FUERZA BRUTA para el puerto 25 #aceptamos redireccionamiento de puertos para conexiones WAN--LAN iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 995 -j ACCEPT iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan -d $lan_ip_smtppop --dport 465 -j ACCEPT #Ahora configuramos conexiones de paquetes LAN--WAN para estados ya establecidos iptables -t filter -A FORWARD -p TCP -i $interfaz_lan -o $interfaz_internet -s $lan_ip_smtppop --sport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -p TCP -i $interfaz_lan -o $interfaz_internet -s $lan_ip_smtppop --sport 995 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -p TCP -i $interfaz_lan -o $interfaz_internet -s $lan_ip_smtppop --sport 465 -m state --state ESTABLISHED,RELATED -j ACCEPT #Ahora al servidor le dejamos realizar conexiones al puerto 25 de otros servidores para que se vayan los correos de #la LAN a INTERNET iptables -t filter -A FORWARD -p TCP -i $interfaz_lan -o $interfaz_internet --dport 25 -s $lan_ip_smtppop -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -p TCP -i $interfaz_internet -o $interfaz_lan --sport 25 -d $lan_ip_smtppop -m state --state ESTABLISHED,RELATED -j ACCEPT ya lo tengo captura el SA junto con amavisd-new , el problema es que retrasan los mail Ni modo, la seguridad es ante todo. lo tengo con el postfix , pero aun asi algunas no las cacha, te las posteo si me falta una me la regalas ... smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_rbl_client dnsbl.njabl.org, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org,reject_unauth_destination Bueno, en mi caso no uso postfix, uso la suite de courier-mta, que me ha servido desde ya hace 5 años y pues..., gracias a Dios no he recibido spams en masa, cosa que antes los recibía a razon de 2000 por día cuando la empresa donde laboro tenía otro tipo de software servidor de correos, ahora recibo +/- los 2000, pero primero los cacho con el iptable y despues el rezago los detengo con los dsbl y el clamAV. También ayuda que tengas un buen AV si tus usuarios son Win2. Esta es la lista que he usado: 1- zen.spamhaus.org 2- cbl.abuseat.org 3- b.barracudacentral.org (debes suscribir tu DNS) 4- Si tienes usuarios que revisan su email, no trates de abrir el puerto 25, sino, utiliza el smtp-ssl, pop3-ssl ó imap-ssl, de esa forma si solamente tienes un solo servidor puedes aplicar desde el firewall diferentes políticas para los diferentes servicios. esto no lo habia pensado tan asi , voy a hacer pruebas... Por ejemplo aplica polítcas extremas al puerto 25 y relaja las de los otros puertos para usuarios de la empresa de tu red lan/wan. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/619986.35280...@web45102.mail.sp1.yahoo.com
Re: en otra de ataque a mi servidor de correo
Hola, Otra cosa que puedes hacer es : 1- Si tienes control sobre el router, limitar las conexiones simultaneas de las IPs, ello, dado que las empresas responsables no envían emails de forma continua, sino, que sus programas de correos (servidores) los envian entre 3/5 minutos de intervalos y cuando hay varios emails cuyo remitentes sean del mismo dominio, pues, usan la misma conexion y así se evitan el problema de ser baneados por el firewall. 2- Puedes también SPF sobre el Remitente, asegurándote que la dirección de origen sea válida en un dominio. 3- Puedes implementar el bloqueo de IP desde la aplicación de correo basado en DNSBL, ej: http://www.spamhaus.org/ 4- Si tienes usuarios que revisan su email, no trates de abrir el puerto 25, sino, utiliza el smtp-ssl, pop3-ssl ó imap-ssl, de esa forma si solamente tienes un solo servidor puedes aplicar desde el firewall diferentes políticas para los diferentes servicios. Saludos. --- El jue, 7/1/10, Camaleón noela...@gmail.com escribió: De: Camaleón noela...@gmail.com Asunto: Re: en otra de ataque a mi servidor de correo A: debian-user-spanish@lists.debian.org Fecha: jueves, 1 de julio de 2010, 01:23 am El Wed, 30 Jun 2010 15:50:24 -0600, troxlinux escribió: El día 30 de junio de 2010 15:37, Camaleón escribió: Eso no puede ser :-/ Supongo que estás con Postfix. Analiza el /var/log/mail y mira a ver qué es lo que está pasando realmente (origen y destino de esos mensajes, así como las direcciones IP) para descartar que tengas un relay abierto. Supongo que son rebotes, es decir, que alguien ha enviado correos con una dirección en el campo From: apuntando a tu dominio y un Reply-To: apuntando a un segundo dominio (o viceversa) y os estéis devolviendo mutuamente los correos. pues todos se conectar el port 25 de mi servidor y el localhost Claro, como debe ser, pero ese no es el problema... mira te muestro la cabecera de unos de mis correos atrapados por amavisd-new X-Spam-Flag: YES (...) From: Tanner Neidhardt qbxunshakea...@grupomunkel.com To: Jap345678 jap345...@aol.com El problema es qué hace tu servidor de correo atendiendo esas peticiones, es decir, ninguno de tus dominios aparece como remitente/receptor. Si es así, tienes un open relay, revisa la configuración del servidor. Ya sabes que las cabeceras se pueden falsificar. Y revisa los registros para analizar si las peticiones son válidas o se te están colando por algún lado. Esto lo podrás ver desde el registro del servidor, no en las cabeceras de los correos y tienes que analizarlo con lupa. Pero para saber cómo responder antes tienes que saber cuál es el origen del problema. y mira las conexiones a mi puerto 25 algunas en time_wait o otras activas tcp 0 0 165.98.97.38:25 84.124.180.22:2819 TIME_WAIT (...) Pero eso es normal. Tienes el puerto 25 abierto en el router y el servidor respondiendo en ese puerto. Lo que no es normal es que tu servidor de correo atienda esas peticiones. Si te molestan mucho (puede ser una ráfaga de spam pasajera), puedes usar Postfix para bloquear/rechazar las peticiones que vienen desde direcciones IP que están en las listas negras mediante smtpd_recipient_restrictions = ... reject_rhsbl_recipient o smtpd_sender_restrictions = ... reject_rhsbl_sender. Consulta el manual de Postfix para ver cómo se configuran estos valores. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2010.07.01.06.23...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/638583.11250...@web45105.mail.sp1.yahoo.com
Re: en otra de ataque a mi servidor de correo
El Wed, 30 Jun 2010 15:50:24 -0600, troxlinux escribió: El día 30 de junio de 2010 15:37, Camaleón escribió: Eso no puede ser :-/ Supongo que estás con Postfix. Analiza el /var/log/mail y mira a ver qué es lo que está pasando realmente (origen y destino de esos mensajes, así como las direcciones IP) para descartar que tengas un relay abierto. Supongo que son rebotes, es decir, que alguien ha enviado correos con una dirección en el campo From: apuntando a tu dominio y un Reply-To: apuntando a un segundo dominio (o viceversa) y os estéis devolviendo mutuamente los correos. pues todos se conectar el port 25 de mi servidor y el localhost Claro, como debe ser, pero ese no es el problema... mira te muestro la cabecera de unos de mis correos atrapados por amavisd-new X-Spam-Flag: YES (...) From: Tanner Neidhardt qbxunshakea...@grupomunkel.com To: Jap345678 jap345...@aol.com El problema es qué hace tu servidor de correo atendiendo esas peticiones, es decir, ninguno de tus dominios aparece como remitente/receptor. Si es así, tienes un open relay, revisa la configuración del servidor. Ya sabes que las cabeceras se pueden falsificar. Y revisa los registros para analizar si las peticiones son válidas o se te están colando por algún lado. Esto lo podrás ver desde el registro del servidor, no en las cabeceras de los correos y tienes que analizarlo con lupa. Pero para saber cómo responder antes tienes que saber cuál es el origen del problema. y mira las conexiones a mi puerto 25 algunas en time_wait o otras activas tcp0 0 165.98.97.38:25 84.124.180.22:2819 TIME_WAIT (...) Pero eso es normal. Tienes el puerto 25 abierto en el router y el servidor respondiendo en ese puerto. Lo que no es normal es que tu servidor de correo atienda esas peticiones. Si te molestan mucho (puede ser una ráfaga de spam pasajera), puedes usar Postfix para bloquear/rechazar las peticiones que vienen desde direcciones IP que están en las listas negras mediante smtpd_recipient_restrictions = ... reject_rhsbl_recipient o smtpd_sender_restrictions = ... reject_rhsbl_sender. Consulta el manual de Postfix para ver cómo se configuran estos valores. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2010.07.01.06.23...@gmail.com
Re: en otra de ataque a mi servidor de correo
El Wed, 30 Jun 2010 15:01:09 -0600, troxlinux escribió: saludos lista , aquí atravesando de una tempestad desde hace unas 3 semanas , y parece que no tiene fin , hace un par de meses atrás actualizamos un servidor de correos que dejaba pasar el spam como pasa pedro por su casa ;) , pues de aqui hace un mes comencé a ver un crecido procesamiento de correos y mi amavisd-new gastando procesador como no hay , esto a su ves me causa un atraso en la entrega de correos , puesto que el amavisd-new recibe hasta 40 correos por minutos , tuve que abrir el 587 como alternativo y asi pude solventar un poco , pero para que decir si envio un correo a alguien de mi dominio lo recive en una hora .. esto me tiene crazy .. Eso no puede ser :-/ Supongo que estás con Postfix. Analiza el /var/log/mail y mira a ver qué es lo que está pasando realmente (origen y destino de esos mensajes, así como las direcciones IP) para descartar que tengas un relay abierto. le he agregado al servidor el fail2ban , no me ha ayudado mucho , ossec como hids response , ademas del greylisted con psotfix , mas el amavisd-new , razor , y dnsbl... pero no consigo , que mas puedo probar lista? miren la cola (...) E06FF77A4E5 5521464 Wed Jun 30 10:29:31 hmun...@grupomunkel.com (lost connection with d.mx.mail.yahoo.com[209.191.88.254] while sending end of data -- message may be sent more than once) milia...@yahoo.com -- 19030 Kbytes in 5430 Requests. ni siquiera existen en mi dominio ... ideas? Supongo que son rebotes, es decir, que alguien ha enviado correos con una dirección en el campo From: apuntando a tu dominio y un Reply-To: apuntando a un segundo dominio (o viceversa) y os estéis devolviendo mutuamente los correos. Pero para saber cómo responder antes tienes que saber cuál es el origen del problema. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2010.06.30.21.37...@gmail.com
Re: en otra de ataque a mi servidor de correo
El día 30 de junio de 2010 15:37, Camaleón noela...@gmail.com escribió: Eso no puede ser :-/ Supongo que estás con Postfix. Analiza el /var/log/mail y mira a ver qué es lo que está pasando realmente (origen y destino de esos mensajes, así como las direcciones IP) para descartar que tengas un relay abierto. Supongo que son rebotes, es decir, que alguien ha enviado correos con una dirección en el campo From: apuntando a tu dominio y un Reply-To: apuntando a un segundo dominio (o viceversa) y os estéis devolviendo mutuamente los correos. pues todos se conectar el port 25 de mi servidor y el localhost mira te muestro la cabecera de unos de mis correos atrapados por amavisd-new X-Envelope-From: qbxunshakea...@grupomunkel.com X-Envelope-To: jap345...@aol.com, s...@grupomunkel.com X-Envelope-To-Blocked: jap345...@aol.com, s...@grupomunkel.com X-Quarantine-ID: EssHLEA7Rtd0 X-Spam-Flag: YES X-Spam-Score: 23.876 X-Spam-Level: *** X-Spam-Status: Yes, score=23.876 tag=-999 tag2=5.2 kill=5.2 tests=[BAYES_99=3.5, DOS_OE_TO_MX=2.75, FH_RELAY_NODNS=1.451, KAM_RBL=2, RCVD_IN_CBL=1, RCVD_IN_PBL=0.905, RCVD_IN_XBL=3.033, RCVD_NUMERIC_HELO=2.067, RDNS_NONE=0.1, STOX_REPLY_TYPE=0.001, TVD_RCVD_IP=1.931, TVD_RCVD_IP4=3.183, URIBL_BLACK=1.955] autolearn=spam Received: from lentesnic.grupomunkel.com ([127.0.0.1]) by localhost (lentesnic.grupomunkel.com [127.0.0.1]) (amavisd-new, port 10024) with LMTP id EssHLEA7Rtd0; Wed, 30 Jun 2010 15:47:16 -0600 (CST) Received: from 125.164.242.230 (unknown [125.164.242.230]) by lentesnic.grupomunkel.com (Postfix) with SMTP id DFE0777AF85 for jap345...@aol.com; Wed, 30 Jun 2010 14:50:21 -0600 (CST) Message-ID: 000f01cb18d0$da3aec70$0747f...@voucherod4dde8 From: Tanner Neidhardt qbxunshakea...@grupomunkel.com To: Jap345678 jap345...@aol.com Subject: Hello from Neidhardt Pero para saber cómo responder antes tienes que saber cuál es el origen del problema. y mira las conexiones a mi puerto 25 algunas en time_wait o otras activas tcp0 0 165.98.97.38:25 84.124.180.22:2819 TIME_WAIT tcp0 0 165.98.97.38:25 84.124.180.22:2821 TIME_WAIT tcp0 0 165.98.97.38:25 200.83.118.206:4495 TIME_WAIT tcp0 0 165.98.97.38:25 200.83.118.206:4493 TIME_WAIT tcp0 0 165.98.97.38:25 84.124.180.22:2812 TIME_WAIT tcp0 0 165.98.97.38:25 84.124.180.22:2806 TIME_WAIT tcp0 0 165.98.97.38:25 190.42.47.9:61569 TIME_WAIT tcp0 0 165.98.97.38:25 200.83.118.206:4485 TIME_WAIT tcp0 0 165.98.97.38:25 200.83.118.206:4520 TIME_WAIT tcp0 0 165.98.97.38:25 190.42.47.9:61553 TIME_WAIT tcp0 0 165.98.97.38:25 200.83.118.206:4508 TIME_WAIT cp0 0 165.98.97.38:25 200.83.118.206:4518 TIME_WAIT y hay mas ... --More-- -- rickygm http://gnuforever.homelinux.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktim4htzqmdcb7ft4yudv4jc96dcssypjddzw_...@mail.gmail.com
