26 May 2009 - 22:18Máte v odchozí frontě tisíce emailů? let me help you.

Poslední dobou pořád více narážím na administrátory, kteří moc na politiku hesel a zabezpečení serverů nedbají, což je taky jeden z důvodů proč je pořád víc a víc spamu.

Pokud spammer potřebuje odeslat spoustu mailů, má v zásadě jenom pár možností.

  • Má vlastní botnet (X tisíc hackutých počítačů) pod kontrolou.
  • Použije nějaké nezabezpečené weby a spam pošle přes php či jiný scriptovací jazyk.
  • Zjistí jméno + heslo k účtům na Vašem(a X dalších) mailserverů a pošle spam přes vás.

Pokud se Vám stala třetí možnost, musíte dohledat jaký účet byl prolomen a tomu změnit heslo.
Typicky se zkoušejí kombinace jako admin/admin, user/user, info/info, marketing/marketing, admin,admin123456 ..atp

Abyste mohli spammera dohledat v logu, hledej informaci jako “AUTH LOGIN” ci “AUTH CRAM-MD5″ za tím následuje uživatelské jméno a heslo.Obojí je enkodováno do base64, takže budete potřebovat nějaký dekodér – např pspad nebo nějaký webový http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/

Celá enkodovaná SMTP session s autentizací.

123.123.123.123 [0158] 06:09:14 <<< AUTH LOGIN
123.123.123.123 [0158] 06:09:14 >>> 334 VXNlcm5hbWU6
123.123.123.123 [0158] 06:09:14 <<< dXNlckBleGFtcGxlLm9yZw==
123.123.123.123 [0158] 06:09:14 >>> 334 UGFzc3dvcmQ6
123.123.123.123 [0158] 06:09:14 <<< c29tZXBhc3N3b3Jk
123.123.123.123 [0158] 06:09:14 >>> 235 2.0.0 Authentication successful
123.123.123.123 [0158] 06:09:14 <<< MAIL FROM: <user@example.org>
123.123.123.123 [0158] 06:09:14 >>> 250 2.1.0 <user@example.org>… Sender ok
123.123.123.123 [0158] 06:09:14 <<< RCPT TO: <otheruser@somedomain.com>
123.123.123.123 [0158] 06:09:14 >>> 250 2.1.5 <otheruser@somedomain.com>… Recipient ok; will forward

Celá dekodovaná SMTP session s autentizací.

123.123.123.123 [0158] 06:09:14 <<< AUTH LOGIN
123.123.123.123 [0158] 06:09:14 >>> 334 Username:
123.123.123.123 [0158] 06:09:14 <<< user@example.org
123.123.123.123 [0158] 06:09:14 >>> 334 Password:
123.123.123.123 [0158] 06:09:14 <<< somepass
123.123.123.123 [0158] 06:09:14 >>> 235 2.0.0 Authentication successful
123.123.123.123 [0158] 06:09:14 <<< MAIL FROM: <user@example.org>
123.123.123.123 [0158] 06:09:14 >>> 250 2.1.0 <user@example.org>… Sender ok
123.123.123.123 [0158] 06:09:14 <<< RCPT TO: <otheruser@somedomain.com>
123.123.123.123 [0158] 06:09:14 >>> 250 2.1.5 <otheruser@somedomain.com>… Recipient ok; will forward

Pak již stačí jenom změnit heslo, odstranit Vaší ip z dnsbl serverů, snadno zjistíte např na http://www.dnsbl.info

Lepší než tohle řešit je tomu předcházet.

  • Zapněte politiku hesel a vyžadujde heslo minimálně o délce 6 znaků s tím že jeden z nich bude číslo
  • Apelujte na uživatele ať si volí složitá hesla
  • Zapněte expiraci hesel, např každých 6 měsíců
  • Sledujte velikost fronty na Vašem mailserveru a nechte se notifikovat smskou nebo mailem, pokud tam bude např 100 mailů k odeslání

No Comments | Tags: Mailservery

Comments are closed.