Discussion:
Ayuda
Memo Robles
2014-04-19 05:52:41 UTC
Permalink
Lista, buenas.

Recien me levante un servidor de correos postfix, a la hora creo me lo hackearon :(. Me podrian ayudar por favor

Estan enviando correos desde mi servidor. El origen de la IP es 58.11.131.109. Ya bloquee la IP pero no creo que sea lo correcto.

Viendo el log.

Apr 19 00:29:08 mail amavis[26208]: (26208-02) Checking: seGNjHZ7sruM [58.11.131.109] <glfcoastredneck-***@public.gmane.org> -> <babykayaboo-***@public.gmane.org>,<babykenny-***@public.gmane.org>,<babykimberly-***@public.gmane.org>,<babykitten-***@public.gmane.org>,<babykittymelissa-***@public.gmane.org>,<babykracker-***@public.gmane.org>,<***@hotmail.com>,<babylake90-***@public.gmane.org>,<babylebron23-***@public.gmane.org>,<babyleslie413-***@public.gmane.org>,<babylinette69-***@public.gmane.org>,<***@hotmail.com>,<beckylynn4-***@public.gmane.org>,<beckym1967-***@public.gmane.org>,<***@hotmail.com>,<beckymcfee-***@public.gmane.org>,<beckymerritt-***@public.gmane.org>,<beckymon-***@public.gmane.org>,<beckyn1089-***@public.gmane.org>,<beckynevins12-***@public.gmane.org>

Que puedo hacer para bloquear desde postfix estos correos.

Gracias de antemano.
Saludos
Cesar
2014-04-19 07:26:45 UTC
Permalink
Puedo darte algunos consejos:

1- Configura tu postfix para limitar la cantidad de mensajes salientes. Por
decir un ejemplo en mi oficina he limitado a un Máx. de 250 mails salientes
cada 24 Horas y para todos los usuarios, siendo así, el servidor rechazará
los próximos correos salientes y enviará una notificación al remitente, por
lo que sabrás que cuenta de correo fue hackeada, además que evitarás que tu
IP de correo sea declarada en Internet como servidor SPAM (DNSBL ó RBL).
Estudia estas opciones de postfix: "smtpd_client_event_limit_exceptions",
"anvil_rate_time_unit", "anvil_status_update_time" y finalmente
"smtpd_client_message_rate_limit", hay muchos tutoriales al respecto en
Internet.

2- Tus cuentas de usuario de correo deben tener contraseñas complicadas,
mínimo 12 caracteres y con combinaciones de mayúsculas, minúsculas, números
y símbolos especiales, de este modo será más difícil para un hacker hacerte
daño.

3- Configura tu postfix para que exiga autenticación para correos saliente,
es decir cuando el destinatario del mensaje no pertenece a tu mismo dominio,
así evitarás ser un open relay.

4- Usa el software "fail2ban", éste hace bloqueo por firewall cuando eres
atacado, y esta lleno parámetros personalizables. Por decir un ejemplo, el
mio esta configurado así: En un plazo de 24 Horas luego de 10 intentos
fallidos de autenticación contra el servidor de correo, "fail2ban" bloqueará
la IP del atacante por puertos smtp, smtps, imap imaps, pop3 y pop3s durante
1 semana, siempre y cuando el ataque no provenga de mi localhost, la LAN y
algunas otras Dir. IP. que he configurado muy selectivamente. "fail2ban" se
basa en una lectura constante de los registros de autenticación fallidas del
Postifix para crear las reglas de Firewall automáticamente sobre la marcha.
Cuando uses este programa fantástico, será seguro que esos hackers buscarán
otra victima, pero recuerda que debe estar acompañado de iptables
(firewall), y de contraseñas robustas en tus cuentas de correo de Postfix.
Ah lo olvidaba, "fail2ban" también hace logs de sus actividades de bloqueo
para que estés al tanto.

Saludos cordiales
Cesar

----- Mail original ----
>Lista, buenas.
>
>Recien me levante un servidor de correos postfix, a la hora creo me lo
hackearon :(. Me podrian ayudar por favor
>
>Estan enviando correos desde mi servidor. El origen de la IP es
58.11.131.109. Ya bloquee la IP pero no creo que sea lo correcto.
>
>Viendo el log.
>
>Apr 19 00:29:08 mail amavis[26208]: (26208-02) Checking: seGNjHZ7sruM
[58.11.131.109] <[hidden email]> -> <[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>,<[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>,<[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>,<[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>,<[hidden email]>,<[hidden
email]>,<[hidden email]>,<[hidden email]>
>
>Que puedo hacer para bloquear desde postfix estos correos.
>
>Gracias de antemano.
>Saludos



-----
Best Regards
Cesar
--
View this message in context: http://postfix.1071664.n5.nabble.com/postfix-es-Ayuda-tp67207p67208.html
Sent from the Postfix España mailing list archive at Nabble.com.
j***@public.gmane.org
2014-04-21 02:51:59 UTC
Permalink
De acuerdo con lo que dice Cesar.

Lo normal, 1 tu servidor no debe ser open relay, 2 debes autenticar el smtp, 3, identifica por medio de los log de autenticacion la cuenta que estan usando para autentcar el smtp. 4 los usuarios deben colocar contrasenas robustas. 5 si el servidor es hosting, descarta que no se hayan pinchado una web y esten enviando por medio de un php, aunque dices que siempre ves la misma ip, descarta eso ya que por alli al ser localhost no hace falta autenticar.

Fail2ban tu mejor aliado.

Pd: mi servidor recibe ataques el 90% a sasl, imap y pop, de paises del continente asiatico. Estoy pensando en una regla de iptable apoyado con el modulo de geo ip para bloquear por paises.








Enviado desde mi celular

-----Original Message-----
From: Memo Robles <kinr_cs89-***@public.gmane.org>
Sender: "postfix-es" <postfix-es-bounces+j.sejo1=gmail.com-C4dRjWyEhVa+OC/***@public.gmane.org>Date: Fri, 18 Apr 2014 22:52:41
To: postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org<postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org>
Subject: [postfix-es] Ayuda

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org
http://lists.wl0.org/mailman/listinfo/postfix-es
Memo Robles
2014-04-21 16:28:19 UTC
Permalink
Cesar/ j.sejo1

En verdad muchas gracias por su ayuda.

Ya implemente Fail2ban y me ha ayudado bastante.

Ahora implementare las contraseñas robustas.


Saludos
Memo

> Subject: Re: [postfix-es] Ayuda
> To: kinr_cs89-***@public.gmane.org; postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org
> From: j.sejo1-***@public.gmane.org
> Date: Mon, 21 Apr 2014 02:51:59 +0000
>
> De acuerdo con lo que dice Cesar.
>
> Lo normal, 1 tu servidor no debe ser open relay, 2 debes autenticar el smtp, 3, identifica por medio de los log de autenticacion la cuenta que estan usando para autentcar el smtp. 4 los usuarios deben colocar contrasenas robustas. 5 si el servidor es hosting, descarta que no se hayan pinchado una web y esten enviando por medio de un php, aunque dices que siempre ves la misma ip, descarta eso ya que por alli al ser localhost no hace falta autenticar.
>
> Fail2ban tu mejor aliado.
>
> Pd: mi servidor recibe ataques el 90% a sasl, imap y pop, de paises del continente asiatico. Estoy pensando en una regla de iptable apoyado con el modulo de geo ip para bloquear por paises.
>
>
>
>
>
>
>
>
> Enviado desde mi celular
>
> -----Original Message-----
> From: Memo Robles <kinr_cs89-***@public.gmane.org>
> Sender: "postfix-es" <postfix-es-bounces+j.sejo1=gmail.com-***@public.gmane.orgg>Date: Fri, 18 Apr 2014 22:52:41
> To: postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org<postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org>
> Subject: [postfix-es] Ayuda
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
Rodrigo Nicolas Gliksberg Diaz
2014-04-21 16:42:29 UTC
Permalink
Yo también tuve el mismo problema, y Fail2ban tenes que ir ajustándolo, no
es solo instalarlo y listo, tiene expresiones regulares, etc.

Te recomiendo cambio periodico de contraseñas y que detectes de donde
vienen los ataques en general.

Saludos


El 21 de abril de 2014, 18:28, Memo Robles <kinr_cs89-***@public.gmane.org> escribió:

> Cesar/ j.sejo1
>
> En verdad muchas gracias por su ayuda.
>
> Ya implemente Fail2ban y me ha ayudado bastante.
>
> Ahora implementare las contraseñas robustas.
>
>
> Saludos
> Memo
>
> > Subject: Re: [postfix-es] Ayuda
> > To: kinr_cs89-***@public.gmane.org; postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org
> > From: j.sejo1-***@public.gmane.org
> > Date: Mon, 21 Apr 2014 02:51:59 +0000
> >
> > De acuerdo con lo que dice Cesar.
> >
> > Lo normal, 1 tu servidor no debe ser open relay, 2 debes autenticar el
> smtp, 3, identifica por medio de los log de autenticacion la cuenta que
> estan usando para autentcar el smtp. 4 los usuarios deben colocar
> contrasenas robustas. 5 si el servidor es hosting, descarta que no se hayan
> pinchado una web y esten enviando por medio de un php, aunque dices que
> siempre ves la misma ip, descarta eso ya que por alli al ser localhost no
> hace falta autenticar.
> >
> > Fail2ban tu mejor aliado.
> >
> > Pd: mi servidor recibe ataques el 90% a sasl, imap y pop, de paises del
> continente asiatico. Estoy pensando en una regla de iptable apoyado con el
> modulo de geo ip para bloquear por paises.
> >
> >
> >
> >
> >
> >
> >
> >
> > Enviado desde mi celular
> >
> > -----Original Message-----
> > From: Memo Robles <kinr_cs89-***@public.gmane.org>
> > Sender: "postfix-es" <postfix-es-bounces+j.sejo1=gmail.com-C4dRjWyEhVZlWke8ox7C/***@public.gmane.orgorg>Date:
> Fri, 18 Apr 2014 22:52:41
> > To: postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org<postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org>
> > Subject: [postfix-es] Ayuda
> >
> > _______________________________________________
> > List de correo postfix-es para tratar temas del MTA postfix en español
> > postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org
> > http://lists.wl0.org/mailman/listinfo/postfix-es
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
Loading...