Re: Servidor de correo (postfix) y spam
El Sun, 22 Feb 2015 11:45:50 +0100, José Miguel (sio2) escribió:
> Un saludo a la lista:
>
> Hoy me he desayunado con que mi servidor de correo estaba mandado spam
> desde hace algunos días.
¿Has verificado que eso sea realmente lo que esté pasando? Es decir,
¿cómo sabes que está enviando spam?
> Me extrañaba la circunstancia, porque el servidor lleva montado cerca
> de un año y no había dado problemas. Por si acaso he comprobado si
> tenía el relay abierto:
(...)
> Y no lo está, porque de ser así los problemas habrían aparecido mucho
> antes. El servidor exige validarse para enviar correo a otros
> servidores, excepto si la petición procede de las redes locales que
> están configuradas así:
>
> mynetworks = 127.0.0.0/8
>
> O sea, sólo el propio servidor, lo cual descarta que el relay se
> estuviera haciendo desde algún cliente de la red local.
>
> El servidor está montado principalmente para servir de sostén a algunas
> aplicaciones web (moodle, por ejemplo); y solamente yo lo uso
> esporádicamente.
>
> Mirando las anotaciones en /var/log/mail he visto esto:
>
> #v+
> # grep sasl_username= mail.log.1 [...]
> Feb 18 22:37:39 orrilo postfix/smtpd[7371]: 8FF261122D: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
(...)
> Así que este parece ser el problema: que han cazado la contraseña de un
> usuario del sistema, porque entiendo que estas líneas significan que
> alguien se ha autenticado en el servidor como "pablo" para después
> enviar spam. Efectivamente, esa cuenta existe y es de alguien al que se
> la di, porque de vez en cuando sube documentos a un ftp para que luego
> se vean a través de la web.
>
> Creo que mi diagnóstico es acertado, ¿no?
Correcto. Cambia la contraseña del usuario "pablo" y se acabará el goteo.
> Por lo pronto he deshabilitado al usuario. Supuesto esto, me gustaría
> saber dos cosas:
>
> a) ¿Cómo se ha producido esto?
1/ Una contraseña débil contra ataques de diccionario.
2/ Una fuga de información desde el interior.
> b) Si existe alguna manera sencilla de detectar esto más adelante: lo he
> detectado unos días después de que comenzara, porque me dio por mirar
> los logs por otra razón distinta.
Sí, seguramente hayan estado atacando al servidor de correo desde hace
varios días hasta que habrán dado con la contraseña (suelen ser robots/
rutinas automáticas, nada dirigido) pero para evitarlas suele ser efectivo
fail2ban o sistemas similares.
> En lo relativo a lo primero, entiendo que ftp no es seguro y que quizás
> tendría que usar el sftp que ofrece ssh. Sin embargo, ¿es esta una causa
> probable de que hayan averiguado la contraseña los spammers o lo es más
> que tenga un malware en el ordenador de su casa que le haya obtenido la
> contraseña de filezilla, por ejemplo? Eso descartando que su contraseña
> sea 1234. Mañana se lo preguntaré.
No, salvo que uses la misma contraseña de acceso al ftp que para el correo
electrónico lo cual sería un error.
> Por otro lado, por la técnica de ensayo/error no creo que haya sido,
> porque tengo habilitado denyhost que banea ips cuando detecta un número
> de terminado de intentos fallidos al servidor SSH o al FTP.
No estoy segura de que denyhosts funcione más allá de prevenir ataques de
fuerza bruta contra servidores ssh, es decir, para evitar ataques de fuerza
bruta contra un servidor de autentificación vía smtp necesitarías otra
aplicación.
Saludos,
--
Camaleón
Reply to: