[CentOS-es] Namespace en postfix / dovecot

[Ernesto Pérez Estévez]

On 12/13/2016 12:49 PM, Alex ( Servtelecom ) wrote:
> Esta claro que esto solo puede venir por aplicaciones web instaladas en
> mi servidor no? del exterior no porque lo vería en mis log's de mail.log
> pero allí no veo nada inusual. Me centro exclusivamente en las web's y
> solo en ellas no?

Digamos que alguien se hace pasar por ti desde un servidor de un
tercero... quizá los rebotes te llegarían a tí o te bloquearían
injustamente. Es una posibilidad.. quizá en este caso lo que debes hacer
es configurar SPF y _dmarc en cada dominio. SPF para que le permita a
los demás conocer que es una farsa el intento de un tercero, y el _dmarc
para que te ayude a recibir reportes y conocer quién envía cosas a tu
nombre... no sé, se me ocurre.

Pero me oriento a que sea algo interno, en las web, un script.

Podría ser un script levantado de otra forma (entraron por ssh por
ejemplo)... podría ser... no se puede descartar.

> 
> Igualmente lo de que solo direcciones validas puedan enviar y
> direcciones que no estén creadas en mi sistema de postfix no puedan, hay
> algún manual para que lo pueda aplicar a mi configuración actual? me
> interesa por si roban un password de alguien no me utilicen para enviar
> spam que alguna vez me ha pasado...
Eso no me convence tanto, porque el atacante está usando un script, no
se apoya en el postfix, sino que el script accede directo al puerto
25/tcp de un servidor remoto...

saludos
epe



> 
> Gracias por tu ayuda!!
> 
> Firma Alexandre Andreu Cases - Servtelecom
> El 13/12/16 a las 18:44, Miguel González escribió:
>> On 12/13/16 6:34 PM, Ernesto Pérez Estévez wrote:
>>> On 13/12/16 07:09, Ernesto Pérez Estévez wrote:
>>>> On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
>>>>> En mi caso cuando lo he tenido lo he logrado controlar a través del
>>>>> uso
>>>>> de iptables, pero te cuento luego porque no es tan fácil.
>>>>>
>>> Se me perdió tu mensaje con la pregunta: respecto al fail2ban, es buena
>>> idea que lo tengas para evitar que te hagan el mismo tipo de ataques de
>>> diccionario al servidor, busca y activa las jaulas para el servidor de
>>> pop3, de imap y de smtp que tengas.. también hay jaulas para wordpress y
>>> para otros tipos de ataques que buscan claves débiles, etc.
>>>
>>> Pero eso no evita que un script ya estè siendo activamente explotado en
>>> tu servidor.
>>>
>>>
>>>
>>>
>>
>> Si tienes Wordpress, te recomiendo que instales Wordfence y/o Sucuri y
>> hagas una escaneo de tu Wordpress. Además te sirven para securizarlo.
>>
>> Saludos
>>
>> Miguel
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> https://lists.centos.org/mailman/listinfo/centos-es
> 
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> https://lists.centos.org/mailman/listinfo/centos-es


-- 
CEDIA
La principal herramienta de Investigación en el Ecuador.

Calle La Condamine 12-109 "Casa Rivera".
Cuenca -  Ecuador
Telf: (593) 7405 1000 Ext. 4220/4223
Info en cedia.org.ec
www.cedia.org.ec

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.centos.org/pipermail/centos-es/attachments/20161213/5576c9db/attachment.sig>