Как предотвратить рассылку спамом взломанных писем
1372
Dan
Я новичок в этом весь админ сервер ...
Я работаю в небольшой компании, в которой я являюсь веб-разработчиком и администратором сервера (работа, в которую меня бросили). Обратите внимание, что до того, как приступить к этой работе, я ничего не знал об использовании SSH или Linux, кроме как играть с интерфейсом Ubuntu с графическим интерфейсом.
Я научил себя веревкам, выучил SSH, научился работать почти все в WHM. Я овладеваю им, но все же не могу решить все самостоятельно.
У нас были две основные проблемы:
PHP Mail был скомпрометирован для рассылки спама.
Пароли учетной записи были взломаны для рассылки спама.
Я исправил проблему с помощью своих сценариев, поскольку сам написал многие из них. Я также использовал RIPS для выявления и защиты своих уязвимостей в коде.
Тем не менее, у меня все еще есть проблемы с паролями учетных записей законных пользователей, которые могут быть похищены и время от времени используются для рассылки спама. Для 95% моих пользователей электронной почты это не имеет большого значения, так как мы довольно быстро находим учетную запись, отправляющую спам, и снова ее защищаем.
Однако один конкретный пользователь всегда находится в контакте с человеком, который использует Cisco Senderbase для фильтрации электронной почты. Когда объем нашей почты увеличивается из-за скомпрометированной учетной записи электронной почты, Senderbase помечает нашу репутацию электронной почты, и нам обычно приходится ждать ее, так как их система полностью автоматизирована.
Каков наилучший способ защитить пароли пользователей от взлома или угадывания?
Ты не можешь Вы можете ограничить количество электронных писем, отправленных за определенный период времени, но если указан пароль для учетной записи, у вас нет возможности проверить, является ли он владельцем учетной записи или кем-то еще. Мое предложение форсирует длину пароля, сложность пароля, чтобы предотвратить атаки "грубой силы". Помимо того, что вы мало что можете сделать, если вы решите это, у вас есть идея на следующую сотню миллиардов долларов
Ramhound 10 лет назад
1
** Что вы имеете в виду **, когда говорите, что учетные записи электронной почты законных пользователей используются для рассылки спама? Имейте в виду, что SMTP по умолчанию выполняет * нулевую * проверку отправителя; Я могу отправить электронное письмо `From: President @ whitehouse.gov` и сделать так, чтобы случайный наблюдатель выглядел так, как будто он действительно пришел с этого адреса. Если кто-то входит в вашу систему с использованием скомпрометированной учетной записи, у вас есть более серьезная проблема, чем несколько спам-писем, рассылаемых под этой учетной записью, и вам нужно потрудиться, чтобы исправить * это * вместо этого (и ваша более заметная в настоящее время проблема исправится сама собой). ).
a CVn 10 лет назад
0
Когда я говорю легитимные электронные письма, я не имею в виду кого-то, кто подделывает. Наша почта подписана с SPF и DKIM, чтобы предотвратить то, на что вы ссылаетесь. Я говорю о том, что когда я знаю, что настроил userabc@mydomain.com и с помощью скомпрометированного пароля эта учетная запись использовалась для отправки сотен спам-писем.
Dan 10 лет назад
0
Таким образом, ваша проблема заключается в том, что пароли учетной записи электронной почты обычно скомпрометированы? Не очень, как предотвратить рассылку спама.
a CVn 10 лет назад
0
Да, я думаю, ты мог бы сказать это.
Dan 10 лет назад
0
Я установил ClamAv ... это, похоже, не очень помогло.
Dan 10 лет назад
0
В этом случае вам нужно взглянуть на управление паролями. Начните с комментария @ Ramhound, а затем [отредактируйте] этот вопрос (или даже разместите новый вопрос), чтобы узнать, как предотвратить взлом паролей пользователей. Тем не менее, * будьте конкретны; * этот предмет может быть очень легко закрыт как слишком широкий, если только вы не зададите какой-то вполне конкретный вопрос по этому поводу.
a CVn 10 лет назад
0
Спасибо, Майкл, я буду исследовать немного больше, прежде чем обновлять или спрашивать что-нибудь еще.
Dan 10 лет назад
0
Было бы также полезно, если бы вы могли сказать, какой почтовый сервер вы используете - sendmail, postfix, exim ... Я знаю, что вы можете ограничить количество сообщений, отправляемых из Postfix с помощью anvil, и вы можете иметь больше контроль с помощью полисида. Возможно, вы захотите взглянуть на них, если вы используете Postfix!
Valmiky Arquissandas 10 лет назад
0
И вы все еще на тех же серверах, которые были скомпрометированы? Тогда вы не представляете, какие другие вредоносные программы могут скрываться там, и все ваши попытки исправить это не помогают, потому что злоумышленник оставил черный ход, с помощью которого он может немедленно снова подвергнуть вашу систему сомнению. После взлома сервера обычно остается только одно: стереть его, переустановить все, вернуть резервные данные.
Jan Doggen 10 лет назад
0
Я бы порекомендовал посмотреть на платную почтовую службу, такую как Office365, чтобы позаботиться о вашей почтовой службе, починить скомпрометированный почтовый сервер без опыта - непростая битва, которую вы можете проиграть ... В конечном итоге вы потратите больше времени ( время = деньги) и деньги, решающие проблему (и поддерживающие обслуживание), чем то, что это будет стоить, чтобы использовать специализированную внешнюю службу. Был там, сделал это, лучшее решение из когда-либо принятых.
Kinnectus 8 лет назад
0
3 ответа на вопрос
2
uSlackr
Вам нужны надежные, сложные пароли? Вы блокируете пользователей после нескольких неудачных попыток ввода пароля? Обе эти вещи могут значительно увеличить время для взлома аккаунта. Если есть веб-интерфейс для электронной почты, обратите внимание на использование fail2banдля блокировки IP-адресов, которые генерируют несколько неудачных попыток входа в систему.
Однако возможно, что в игре есть более глубокий компромисс. Если это так, вам может потребоваться более опытный администратор, чтобы помочь в его обнаружении.
Это почти 20 страниц, подробно описывающих точные настройки и настройки почтовой системы. Хотя он был написан для Debian, я получил его для OpenSuse, и другие тоже могут работать.
Добавьте fail2ban и потребуйте длинных сложных паролей и посмотрите, как это происходит.
0
davidgo
Как сказал @ramhound, в общем случае вы не можете предотвратить рассылку спамом электронных писем спама.
Одним из инструментов, который имел ОГРОМНОЕ отличие для меня, была установка «Cluebringer» (Policyd) - он интегрируется с Postfix и может использоваться для ограничения количества электронных писем, отправляемых в данный период времени от данного пользователя. Правильная настройка этого параметра и тщательный мониторинг вашего mailq (который, как вам кажется, в любом случае вы делаете) будет иметь большое значение - особенно с учетом того, что база отправителей проверяет объем отправленных сообщений с ошибками.
Вам также может понадобиться заставить пользователей использовать SMTP Auth, чтобы вы могли легко привязать учетную запись к пользователю в целях ограничения политики с помощью cluebringer. (И для моего бизнеса я обнаружил, что 200 писем в час - хороший порог)