Re: Servidor de correo (postfix) y spam
El Sun, 22 Feb 2015 20:05:07 +0100, José Miguel (sio2) escribió:
> El Sun, 22 de Feb de 2015, a las 03:53:36PM +0000, Camaleón dijo:
>
>> > Hoy me he desayunado con que mi servidor de correo estaba mandado
>> > spam desde hace algunos días.
>>
>> ¿Has verificado que eso sea realmente lo que esté pasando? Es decir,
>> ¿cómo sabes que está enviando spam?
>
> Sí, se estaban intentado enviar correos a cuentas absurdas y además
> había ciento y pico mensajes en la cola del servidor de correo esperando
> a ser enviadas.
Bien. Lo decía porque conviene asegurarse ya que a veces se reciben
correos desde cuentas que parecen ser tuyas pero al ver las cabeceras se
ve claramente que ese mensaje no ha pasado por tu servidor.
>> Correcto. Cambia la contraseña del usuario "pablo" y se acabará el
>> goteo.
>
> Ahora mismo está desabilitado.
Un poco radical peor bueno, eso ya es competencia del administrador.
>> No, salvo que uses la misma contraseña de acceso al ftp que para el
>> correo electrónico lo cual sería un error.
>
> El usuario es el mismo: tanto el servidor FTP como el servidor de
> correos se autentican con PAM. En realidad, no hay muchos usuarios, así
> que no monté ningún servicio LDAP o SAMBA para usuarios.
Eso es un error tremendo, más aún tratándose de un sistema como el FTP
que usa contraseñas en claro. Hay que separar siempre las cuentas y los
servicios aunque resulte pesado tanto para el admin como para el usuario
y también hay que forzar una política de gestión de contraseñas
medianamente seguras.
> Lo que he pensado es crear un /etc/pam.d/smtp (¿o es /etc/pam.d/smtpd?)
> que restrinja los usuarios que se pueden autenticar en el servidor de
> correo.
Suelo usar PAM sólo para cuentas locales del sistema, pero quizá en este
caso te resultaría más práctico gestionar los usuarios ftp con otro
sistema de gestión de usuarios que sea sencillo (p. ej., vsftp usa
archivos de texto plano para generar su bdd).
>> No estoy segura de que denyhosts funcione más allá de prevenir ataques
>> de fuerza bruta contra servidores ssh, es decir, para evitar ataques de
>> fuerza bruta contra un servidor de autentificación vía smtp
>> necesitarías otra aplicación.
>
> En realidad me refería a que lo hubieran intentado por SSH o por FTP.
> Pero efectivamente han podido hacerlo directamente intentándolo sobre el
> SMTP.
Sí, es muy habitual, tengo los servidores llenos de ese tipo de ataques,
estoy pensando en meter fail2ban porque a veces generan mucha carga de
trabajo y tampoco es plan.
> En principio denyhost sólo analiza accesos al SSH, pero se pueden
> cambiar las expresiones regulares para que analice accesos de otros
> servidores. Lo hice en su momento con FTP, pero no con SASL, que es lo
> que uso para autenticar en postfix.
Fail2ban le iría mejor, creo yo, ya que tiene las plantillas de los
servicios más comunes definidas (pop/imap/smtp...).
> Después de un poco de trabajo creo que he logrado que denyhost analice
> también SMTP (no lo he probado todavía): no sé por qué estúpida razón
> saslauthd no apunta la ip remota que intenta la autenticación; así que
> he tenido que hacer un cambalache.
:-)
Saludos,
--
Camaleón
Reply to: