[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Servidor de correo (postfix) y spam


2015-02-22 4:45 GMT-06:00 José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>:
Un saludo a la lista:

Hoy me he desayunado con que mi servidor de correo estaba mandado spam
desde hace algunos días. Me extrañaba la circunstancia, porque el
servidor lleva montado cerca de un año y no había dado problemas. Por si
acaso he comprobado si tenía el relay abierto:

#v+
$ telnet mail.midominio.es 25
Trying 80.32.206.136...
Connected to mail.midominio.es.
Escape character is '^]'.
220 smtp.midominio.es ESMTP Postfix (Debian/GNU)
ehlo
501 Syntax: EHLO hostname
ehlo testing
250-smtp.midominio.es
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM: <cuentainexistente@example.com>
250 2.1.0 Ok
RCPT TO: <test@example.com>
554 5.7.1 <test@example.com>: Relay access denied
#v-

Y no lo está, porque de ser así los problemas habrían aparecido mucho
antes. El servidor exige validarse para enviar correo a otros
servidores, excepto si la petición procede de las redes locales que
están configuradas así:

mynetworks = 127.0.0.0/8

O sea, sólo el propio servidor, lo cual descarta que el relay
se estuviera haciendo desde algún cliente de la red local.


No es problema de relay, pero es bueno siempre serciorarse...

El servidor está montado principalmente para servir de sostén a algunas
aplicaciones web (moodle, por ejemplo); y solamente yo lo uso
esporádicamente.

Mirando las anotaciones en /var/log/mail he visto esto:

#v+
# grep sasl_username= mail.log.1
[...]
Feb 18 22:37:39 orrilo postfix/smtpd[7371]: 8FF261122D: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:38:01 orrilo postfix/smtpd[6676]: CE9C9109F0: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:38:25 orrilo postfix/smtpd[7371]: 6EBE9109F0: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:38:48 orrilo postfix/smtpd[6676]: B6FE111238: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:39:12 orrilo postfix/smtpd[7371]: 0FE8511224: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:39:34 orrilo postfix/smtpd[6676]: 6E45911244: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 20 14:13:09 orrilo postfix/smtpd[24490]: 8E78B3A22: client=unknown[83.170.119.28], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 21 14:15:45 orrilo postfix/smtpd[5438]: ED6197F6D: client=unknown[79.172.242.83], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
[...]
#v-

El que esta usando tu servidor tiene una cuenta en este caso esta usando pablo@
 
Las ips son de Argentina, Hungría, Reino Unido. Si observo los números
8FF261122D, CE9C9109F0, etc, que creo que los asigna postfix a cada
petición que recibe, veo que están asociadas a envíos de spam. por
ejemplo:

#v+
[...]
mail.log.1:Feb 21 14:15:55 orrilo postfix/pipe[5444]: ED6197F6D: to=<therichshecik42@yahoo.com>, [...]
mail.log.1:Feb 21 14:15:55 orrilo postfix/pipe[5444]: ED6197F6D: to=<therichshecik43@yahoo.com>, [...]
mail.log.1:Feb 21 14:15:55 orrilo postfix/pipe[5444]: ED6197F6D: to=<therichshecik44@yahoo.com>, [...]
[,,,]
#v-


Claro una vez que tuvo alguna credencial ya puede autenticarse en algun outlook o cliente de correo y hacer uso de tu smtp para sus usos masivos.
 
Así que este parece ser el problema: que han cazado la contraseña de un
usuario del sistema, porque entiendo que estas líneas significan que
alguien se ha autenticado en el servidor como "pablo" para después
enviar spam. Efectivamente, esa cuenta existe y es de alguien al que se
la di, porque de vez en cuando sube documentos a un ftp para que luego se
vean a través de la web.

Creo que mi diagnóstico es acertado, ¿no? Por lo pronto he deshabilitado
al usuario. Supuesto esto, me gustaría saber dos cosas:


"Elemental mi querido Watson"
 
a) ¿Cómo se ha producido esto?

De muchas formas el que usa la autenticación pablo usa autenticación no segura. Si tu servidor de correo usa imap, pop o smtp y no trabajan bajo ningún ssl, entonces cualquier conección que se haga a tu servidor esta vulnerable. Por lo que no es dificil que alguien tome el password y la autenticación de un usuario en un cyber cafe o en un mall escuchando con un wireshark o alguna otra herramiento escuchando en toda la red en espera que algún pescadito se conecte desde esos lugares y le regale sus autenticaciones el resto es pan comido.
 
b) Si existe alguna manera sencilla de detectar esto más adelante: lo he
   detectado unos días después de que comenzara, porque me dio por mirar
   los logs por otra razón distinta.


Generalmente revisando los logs, o al menos que tengas algun script propio que haga filtro que coincida el login con el From o el envío por minuto si los calculos sobrepasan lo normal el script haga un mail a tu correo y notifique.

Para fortalecer la seguridad pasa a ssl los servicios y mejora la seguridad en cuanto del cliente a tu servidor se trata ya sea mediante un vpn con ssl o algun metodo para que todo viaje por el vpn SSL y no en texto plano.
 
En lo relativo a lo primero, entiendo que ftp no es seguro y que quizás
tendría que usar el sftp que ofrece ssh. Sin embargo, ¿es esta una causa
probable de que hayan averiguado la contraseña los spammers o lo es más
que tenga un malware en el ordenador de su casa que le haya obtenido la
contraseña de filezilla, por ejemplo? Eso descartando que su contraseña
sea 1234. Mañana se lo preguntaré.

Todo es problable mi amigo, de igual forma asegurate primero de subir los niveles de seguridad a los básicos ponles ssl y luego revisa de paso si tiene algun malware, permite que los usuarios cambien sus contraseñas y obligalos a que la cambien cada cierto tiempo.
 

Por otro lado, por la técnica de ensayo/error no creo que haya sido,
porque tengo habilitado denyhost que banea ips cuando detecta un número de
terminado de intentos fallidos al servidor SSH o al FTP.


Esto jamás ocurrira si el usuario que se conecta a tu servidor lo hace desde cualquier lado, ahí no sabes quien esta escuchando la red y si tus servicios son sin ssl, ya sea imap, pop, smtp o ftp, el usuario y password van en la comunicación de forma plana por lo que no necesitan estar intentando nada, lo toman desde el momento que hacen la conexión ahí va todo.
 
Un saludo y gracias de antemano.


La fuerza te acompañe.
 
--
   Et nulla stringo, et tutto 'l mondo abraccio
                  --- Francisco Petrarca ---


--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] 20150222104550.GA9880@cubo.casa" target="_blank">https://lists.debian.org/[🔎] 20150222104550.GA9880@cubo.casa




--
================

Reply to: