Hola a tod@s. He tenido el servidor bajo ataque de spam. Usaron una cuenta válida con usuario y contraseña que capturaron desde un equipo window y con outlook al cual le metieron un troyano y se hicieron con la configuración. El envio masivo se produjo desde Ucrania, y no hay usuarios ni clientes en ese pais. Con lo cual mi pregunta es:
Aunque tengan usuario y contraseñas validas, ¿es posible desde qmail denegar el acceso smtp por paises?, supongo que usando geoip...pero hasta aqui llego
salu2.
Hola.
Por el tipo de ataque que describes de poco serviría hacer una restricción por localización geográfica.
De todas formas efectivamente necesitarás usar el módulo de geoip que está disponible para iptables. Esta guía puede serte de utilidad:
http://www.howtoforge.com/xtables-addons-on-centos-6-and-iptables-geoip-filt...
Sirve tanto para IPV6 así como para IPV4.
Recuerda que el listado de IPS deberá ser actualizado regularmente para tener al día el listado de rangos de IPS asociados a cada país.
En google seguro encuentras más información puesto que este tipo de configuración es genérica y sencilla.
Saludos
El lun, 27-01-2014 a las 16:07 +0000, victor santana escribió:
Hola a tod@s. He tenido el servidor bajo ataque de spam. Usaron una cuenta válida con usuario y contraseña que capturaron desde un equipo window y con outlook al cual le metieron un troyano y se hicieron con la configuración. El envio masivo se produjo desde Ucrania, y no hay usuarios ni clientes en ese pais. Con lo cual mi pregunta es:
Aunque tengan usuario y contraseñas validas, ¿es posible desde qmail denegar el acceso smtp por paises?, supongo que usando geoip...pero hasta aqui llego
salu2. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Ese tema me lo plantee yo hace unos meses, después de que a un usuario le hackeasen la clave.
Pero yo no podía bloquear por países, pues hoy día casi todo el mundo tiene el correo en el móvil, y cuando viajan, pues se conectan desde cualquier país para leer el correo.
"Mi solución":
1.- Un informe diario de conexiones por paises que no sean el de origen, en mi caso España. ( incluido Web Mail )
2.- Si se produce la conexión desde mas de dos paises en menos de 15 minutos el correo se marca como "hold"
3.- Si se produce la conexión desde mas de 3 países en menos de 30 minutos, se bloquea al usuario y a partir de ese momento, ya hace su trabajo fail2ban
Todo esto lo hice a partir de la programación en PERL para la comprobación de SPF, duplicándolo con otro nombre, y otra comprobación nada mas autentificarse el usuario.
Y la verdad es que la ultima vez que le pillaron la clave a un usuario, el sistema funciono bien, y "tan solo" consiguieron enviar 200 correos.
Ahh, utilizo Postfix, no qmail, hace ya unos cuantos años que deje de utilizarlo.
Suerte, y a trabajárselo.
-------------------------------------------------- De: "Francisco J. Valero" francisco.valero@masvoz.es Fecha: lunes, 27 de enero de 2014 17:50 Para: centos-es@centos.org; reparaciononline@gmail.com Asunto: Re: [CentOS-es] negar el acceso smtp por pais.
Hola.
Por el tipo de ataque que describes de poco serviría hacer una restricción por localización geográfica.
De todas formas efectivamente necesitarás usar el módulo de geoip que está disponible para iptables. Esta guía puede serte de utilidad:
http://www.howtoforge.com/xtables-addons-on-centos-6-and-iptables-geoip-filt...
Sirve tanto para IPV6 así como para IPV4.
Recuerda que el listado de IPS deberá ser actualizado regularmente para tener al día el listado de rangos de IPS asociados a cada país.
En google seguro encuentras más información puesto que este tipo de configuración es genérica y sencilla.
Saludos
El lun, 27-01-2014 a las 16:07 +0000, victor santana escribió:
Hola a tod@s. He tenido el servidor bajo ataque de spam. Usaron una cuenta válida con usuario y contraseña que capturaron desde un equipo window y con outlook al cual le metieron un troyano y se hicieron con la configuración. El envio masivo se produjo desde Ucrania, y no hay usuarios ni clientes en ese pais. Con lo cual mi pregunta es:
Aunque tengan usuario y contraseñas validas, ¿es posible desde qmail denegar el acceso smtp por paises?, supongo que usando geoip...pero hasta aqui llego
salu2. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Saludos Salvador Guzman Salman PSL Vigo, Galicia, España +34 986.21.30.27 +34 679-Salman Correo @Salman.ES Informaciones @Salman.ES para listas de correo http://Salman.EU/
-
Francisco J. Valero -
Salvador Guzman - Salman PSL -
victor santana