Re: Evitar que los usuarios envíen spam
2010/8/2 Federico Alberto Sayd <fsayd@uncu.edu.ar>:
> El 02/08/10 08:39, Marc Aymerich escribió:
>>
>> Buenas listeros,
>> el otro día un spammer consiguió el password de varios usuarios del
>> servidor de correo y empezó a mandar spam a través de sus cuentas. Que
>> métodos conocéis para detectar y combatir este tipo de spam?
>>
>> De entrada se me ocurre filtrar el correo saliente con mailscanner, o
>> mejor, utilizar un policy daemond como policyd y definir "recipient
>> rate limits".
>>
>> ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre?
>>
>> Saludos!
>> --
>> Marc
>>
>>
>>
>
> Hola Marc:
>
> A mi ha pasado justo como a ti. He configurado el servidor con todos los
> filtros para que no entre spam, pero desde luego es muy difícil configurar
> un servidor para filtrar lo que sale pues lo que quieres es que tus usuarios
> puedan mandar correo. Claro está que el problema es cuando algún usuario
> "inteligente" cae en la trampa de responder un correo falso donde le piden
> su usuario y contraseña.
>
> Yo para mitigar un poco el problema he hecho lo siguiente. Como mucho de
> este spam salía a través de squirrelmail, instalé el plugín squirrel logger
> que me informa con un correo cuando un usuario manda a más de 20
> destinatarios. Así puedo ver si han logrado acceso a una cuenta y están
> enviando spam. Además loguea a mail.log otras acciones como intentos
> fallidos de autenticación. Por otra parte configuré fail2ban con algunas
> expresiones regulares para detectar las entradas de squirrel logger y si
> detecta envíos masivos o intentos de logueo fallido (ataques de diccionario)
> en un lapso de tiempo prefijado bloquea a través de iptables la dirección ip
> de origen de tales ataques. Claro que esto último sirve solo para
> squirrelmail y no te protege si entran por
>
> Se me ocurre en este momento que amavis también detecta el spam en el correo
> saliente de tu organización y lo marca como tal en mail.log. Se podría
> configurar una expresión regular que detectara la etiqueta "SPAM" que pone
> amavis a la vez que detecta también que la ip de origen sea de alguna red
> dentro de tu organización. Luego configurar el fail2ban para en vez de
> bloquear con iptables mandar un correo avisando de spam saliente. Pero ahí
> tendría que investigar más al respecto y ponerme de cabeza con las
> expresiones regulares.
>
> Otra cosa que había visto era limitar a los usuarios para que solo puedan
> mandar correo con la cabecera "from" correspondiente a su propia cuenta.
> Pero para hacerlo hay que configurar tablas en el postfix, en mi caso
> agregar el atributo mail en las entradas de ldap. Ahora mismo no recuerdo
> cuál es el parámetro de postfix para hacer esto (Lo tengo marcado en otro
> browser)
>
> Por otra parte cada vez que llega un correo pidiendo la contraseña deniego
> la dirección de respuesta de dicho correo en el archivo recipient_access del
> postfix para que no se pueda contestar.
>
Buenas Federico,
me ha gustado tu idea de mandar un mensaje avisando de que alguien
está mandando mensajes a muchos destinatarios. Creo que puede ser la
clave para detectar problemas como el que he tenido.
Lo de bloquear la respuesta con el recipient_access del postfix puede
ser una buena medida cuando detecte que llegan mensajes pidiendo
contraseñas.
Tomo nota :)
saludos y gracias!!
--
Marc
Reply to: