El 02/08/10 08:39, Marc Aymerich escribió:
Buenas listeros, el otro día un spammer consiguió el password de varios usuarios del servidor de correo y empezó a mandar spam a través de sus cuentas. Que métodos conocéis para detectar y combatir este tipo de spam? De entrada se me ocurre filtrar el correo saliente con mailscanner, o mejor, utilizar un policy daemond como policyd y definir "recipient rate limits". ¿Que hacéis vosotros para prevenir este tipo el spam? ¿que se os ocurre? Saludos! -- Marc
Hola Marc:A mi ha pasado justo como a ti. He configurado el servidor con todos los filtros para que no entre spam, pero desde luego es muy difícil configurar un servidor para filtrar lo que sale pues lo que quieres es que tus usuarios puedan mandar correo. Claro está que el problema es cuando algún usuario "inteligente" cae en la trampa de responder un correo falso donde le piden su usuario y contraseña.
Yo para mitigar un poco el problema he hecho lo siguiente. Como mucho de este spam salía a través de squirrelmail, instalé el plugín squirrel logger que me informa con un correo cuando un usuario manda a más de 20 destinatarios. Así puedo ver si han logrado acceso a una cuenta y están enviando spam. Además loguea a mail.log otras acciones como intentos fallidos de autenticación. Por otra parte configuré fail2ban con algunas expresiones regulares para detectar las entradas de squirrel logger y si detecta envíos masivos o intentos de logueo fallido (ataques de diccionario) en un lapso de tiempo prefijado bloquea a través de iptables la dirección ip de origen de tales ataques. Claro que esto último sirve solo para squirrelmail y no te protege si entran por
Se me ocurre en este momento que amavis también detecta el spam en el correo saliente de tu organización y lo marca como tal en mail.log. Se podría configurar una expresión regular que detectara la etiqueta "SPAM" que pone amavis a la vez que detecta también que la ip de origen sea de alguna red dentro de tu organización. Luego configurar el fail2ban para en vez de bloquear con iptables mandar un correo avisando de spam saliente. Pero ahí tendría que investigar más al respecto y ponerme de cabeza con las expresiones regulares.
Otra cosa que había visto era limitar a los usuarios para que solo puedan mandar correo con la cabecera "from" correspondiente a su propia cuenta. Pero para hacerlo hay que configurar tablas en el postfix, en mi caso agregar el atributo mail en las entradas de ldap. Ahora mismo no recuerdo cuál es el parámetro de postfix para hacer esto (Lo tengo marcado en otro browser)
Por otra parte cada vez que llega un correo pidiendo la contraseña deniego la dirección de respuesta de dicho correo en el archivo recipient_access del postfix para que no se pueda contestar.
Por último he mandado muchos mails a los usuarios advirtiendo acerca de los correos fraudulentos que piden el usuario y la contraseña, pero siempre hay usuarios que no saben leer o que creen que escribimos con gramática de traductor automático, pero algo de conciencia se ha logrado.
Sí se me ocurre algo más te comento. Espero que puedas solucionar el problema.
Saludos