[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Entran mails a cuentas inexistentes de mi mail server sobreDebian

On Sun, Nov 27, 2005 at 09:00:30PM -0300, Alejandro wrote:
> > > > Pero hoy a la mañana entraron mensajes a todas las cuentas de mails de
> > > >  mis usuarios (incluido postmaster) con estas caracteristicas:
> > > >
> > > > De: Post@fbi.gov
> > > > Para: smntp@mi_dominio.com.ar
> > > > Y esos usuarios (smntp y x_mail-list) no pertenecen a mi dominio de
> > > >  mail ni estan en mis aliases de mail> 
> Aqui esta un encabezado por si podes verlo, y desde ya les agradezco mucho:

Curso patrulla de smtp:
Un correo tiene varias direcciones, separadas en dos grupos, el cuerpo y
el sobre.

La dirección en el cuerpo es la que el cliente de correo le muestra al
usuario y viene en los headers del correo (To:,From:, Cc:, etc)

La dirección del sobre es la que el servidor de correo usa para entregar
el mensaje y no necesariamente se refleja en algún header. Haciendo la
analogía con el correo normal, la oficina postal entrega el mensaje
usando sólo lo que dice en el sobre, sin saber nunca quien firma la
carta de adentro, ni a quien va dirigido el saludo. Y el cliente de
correo es un asistente muy solícito, que antes de entregarte tus cartas
las saca todas de los sobres y los tira.

¿A que viene esto? Un truco muy usado por virus y spammers es poner
diferentes direcciones en el cuerpo y en el sobre. Una técnica común es
hacer un sólo mensaje, con un sólo destinatario aparente, y luego
conectar al servidor y pedirle que lo entregue a una larga lista de
direcciones. Esta lista la obtienen de una de dos maneras:

- Recolectaron direcciónes válidas, ya sea rebuscando en páginas web o
  comprandolas a sitios poco escrupulosos.
- Conectan a un servidor e intentan muchas direcciones posibles. Algo
  como
  -- Entreguele esto a juan.
  -- Aqui no vive juan
  -- Bueno, a pedro
  -- Tampoco
  ---- Bueno, a maria
  -- ella sí,
  -- también a pancha
  -- no vive aquí
  -- a manuel
  -- el sí
  ...

  Esto explica que tus usuarios reciban correo queno es para ellos.

¿Como se evita?
El primer caso, como ya te dijeron, educando a los usuarios. Y poniendo
filtros.

El segundo, configura tu servidor para que desconecte a cualquiera que
se conecte e intente entregar correo a demasiados usuarios no
existentes. 'demasiados' es un parametro que tendrás que ajustar con
prueba y error. Un poco más latoso, pero más efectivo y menos propenso a
dañar a usuarios legítimos con costumbres raras es el 'tergrubing', que
consiste en hacer sumemente lentas las conexiones que pidan entregar a
'muchos ' usuarios. Busca en google.

-- 
Rodrigo Gallardo
Reply to: