El 02/08/10 08:39, Marc Aymerich escribió:
Buenas listeros,
el otro día un spammer consiguió el password de varios usuarios del
servidor de correo y empezó a mandar spam a través de sus cuentas. Que
métodos conocéis para detectar y combatir este tipo de spam?
De entrada se me ocurre filtrar el correo saliente con mailscanner, o
mejor, utilizar un policy daemond como policyd y definir "recipient
rate limits".
¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre?
Saludos!
--
Marc
Hola Marc:
A mi ha pasado justo como a ti. He configurado el servidor con todos los
filtros para que no entre spam, pero desde luego es muy difícil configurar
un servidor para filtrar lo que sale pues lo que quieres es que tus usuarios
puedan mandar correo. Claro está que el problema es cuando algún usuario
"inteligente" cae en la trampa de responder un correo falso donde le piden
su usuario y contraseña.
Yo para mitigar un poco el problema he hecho lo siguiente. Como mucho de
este spam salía a través de squirrelmail, instalé el plugín squirrel logger
que me informa con un correo cuando un usuario manda a más de 20
destinatarios. Así puedo ver si han logrado acceso a una cuenta y están
enviando spam. Además loguea a mail.log otras acciones como intentos
fallidos de autenticación. Por otra parte configuré fail2ban con algunas
expresiones regulares para detectar las entradas de squirrel logger y si
detecta envíos masivos o intentos de logueo fallido (ataques de diccionario)
en un lapso de tiempo prefijado bloquea a través de iptables la dirección ip
de origen de tales ataques. Claro que esto último sirve solo para
squirrelmail y no te protege si entran por
Se me ocurre en este momento que amavis también detecta el spam en el correo
saliente de tu organización y lo marca como tal en mail.log. Se podría
configurar una expresión regular que detectara la etiqueta "SPAM" que pone
amavis a la vez que detecta también que la ip de origen sea de alguna red
dentro de tu organización. Luego configurar el fail2ban para en vez de
bloquear con iptables mandar un correo avisando de spam saliente. Pero ahí
tendría que investigar más al respecto y ponerme de cabeza con las
expresiones regulares.
Otra cosa que había visto era limitar a los usuarios para que solo puedan
mandar correo con la cabecera "from" correspondiente a su propia cuenta.
Pero para hacerlo hay que configurar tablas en el postfix, en mi caso
agregar el atributo mail en las entradas de ldap. Ahora mismo no recuerdo
cuál es el parámetro de postfix para hacer esto (Lo tengo marcado en otro
browser)
Por otra parte cada vez que llega un correo pidiendo la contraseña deniego
la dirección de respuesta de dicho correo en el archivo recipient_access del
postfix para que no se pueda contestar.