[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: postfix con autenticazione

Il giorno 17/mag/2013, alle ore 09:43, Pol Hallen <polhallen@fuckaround.org> ha scritto:

> Se metto l'autenticazione TLS in uscita dovrei forse risolvere (forse)...
> 
no, perche' il tls si occupa di cryptare la connessione, ma se uno ha gia' la password sei fregato.
inoltre, se esci verso il mondo solo in tls, bisogna vedere se chi riceve ha la stessa accortezza.


> ma è possibile impostare l'autenticazione dalla lan e non da internet?
> 

ooops, questo non me lo ricordo.

> O quale tool posso usare per bannare i client che fanno brute force? o 
> comunque spam?
> 
> Ho già qualche impostazione su postfix - ma li rallenta e basta.
> 
> PS: tra l'altro (e giustamente) fastweb ora mi ha messo in blacklist :-/

ogni tanto succede pure da queste parti. ho un mx di riserva che non uso, ma che in caso di problemi sugli mx principale viene usato come ponte in attesa che le blacklist tornino neutrali.

attualmente le politiche sono:

postgrey e mailscanner per tutta la posta in entrata e in transito.
autenticazione richiesta per il relay a parte la rete locale dei server.
autenticazione richiesta anche dalle webmail che (squirrel pure) consentono di impostare l'invio indicando un server piuttosto che la funzione mail del php sottostante.
autenticazione non richiesta per le macchine web ma controllo di quello che succede.
uso intenso di spamhouse e soci per la verifica degli ip segnalati.

spf: come se piovesse: irrigidisce un po', ma devo dire che funziona.

inutile sottolineare: richiesta obbligatorio di helo conforme, dominio reale, esistente e quant'altro possibile a livello di postfix.

analisi dei log e blacklist pesante di qualsiasi ip dubbio soprattutto fuori dall'italia. Magari ogni tanto mi chiama il cliente che non riesce a farsi mandare le foto porno di qualcuno, ma chissenefrega. Meglio un falso positivo che essere blacklistati.


ho il mail.err che non fa' altro che riportare tentativi di brute-forcing.

ha, ovviamente, pesante martellamento dei clienti a usare password serie, complesse e periodiche.

se riescono a catturare una password sei fregato: il sistema vede che l'utente accede con password autorizzata e fa passare e sei bello che rovinato.

ha, scriptino che fa monitoraggio sulle code.
come il numero medio cresce, qui' suonano allarmi e trombe.

ultima chicca, che e' in fase di studio:
abbiamo pensato di creare una specie di base statistica in modo da intercettare meglio ip di provenienza e mail.
spiego:
tipicamente un utente romano  (io lavoro a roma e la maggior parte dei miei clienti sono romani) contatta il server piu' o meno sempre dagli stessi ip (ufficio, casa, telefono). Piu' raramente contatta il server da un ip di un sito cinese - magari ci va per lavoro, sempre possibile, ma resta comunque un'eventualita' piu' rara.
ragionando in questo modo, l'idea e' quella di ottenere un segnale di allerta ogni volta che l'invio di mail arriva da un ip che statisticamente dovrebbe essere marginale e non principale.
Reply to: