Reti locali
 

Come difendersi da mail mombing ?

RobertoA 13 Mag 2016 11:57
Ho un server di posta, in rete locale, che e' ingolfato da spedizioni da
Taiwan, indirizzi mittente diversi, molti sono ripetitivi (gli ip)
Come fare per difendersi da questo genere di attacchi?
In questo caso e' Hmail
Ciao e grazie
RobertoA
ObiWan 13 Mag 2016 12:12
:: On Fri, 13 May 2016 11:57:19 +0200
:: (it.comp.reti.locali)
:: <nh47k7$ok1$1@virtdiesel.mng.cu.mi.it>
:: RobertoA <amorosik@tiscalinet.it> wrote:

> Ho un server di posta, in rete locale, che e' ingolfato da spedizioni
> da Taiwan, indirizzi mittente diversi, molti sono ripetitivi (gli ip)
> Come fare per difendersi da questo genere di attacchi? In questo caso
> e' Hmail Ciao e grazie

hMailserver, come altri servers SMTP, ha una serie di meccanismi di
filtraggio che permettono di togliersi dalla scatole la rumenta di quel
genere, basta semplicemente configurarli; apri la console di gestione
di hMS, vai in settings->anti-spam e poi configura quanto segue

** General

Spam mark threshold 5
Spam delete threshold 20
Max size to scan 1024

** Spam tests

Use SPF
Check HELO
Check MX
Verify DKIM

** DNS blacklists (score 20)

zen.spamhaus.org
bl.spamcop.net
ix.dnsbl.manitu.net

** SURBL servers (score 20)

dbl.spamhaus.org

** Greylisting

enable
defer 2
unused days 3
used days 93

bypass on SPF
Bypass A/MX
RobertoA 13 Mag 2016 12:59
Il 13/05/2016 12:12, ObiWan ha scritto:
> :: On Fri, 13 May 2016 11:57:19 +0200
> :: (it.comp.reti.locali)
> :: <nh47k7$ok1$1@virtdiesel.mng.cu.mi.it>
> :: RobertoA <amorosik@tiscalinet.it> wrote:
>
>> Ho un server di posta, in rete locale, che e' ingolfato da spedizioni
>> da Taiwan, indirizzi mittente diversi, molti sono ripetitivi (gli ip)
>> Come fare per difendersi da questo genere di attacchi? In questo caso
>> e' Hmail Ciao e grazie
>
> hMailserver, come altri servers SMTP, ha una serie di meccanismi di
> filtraggio che permettono di togliersi dalla scatole la rumenta di quel
> genere, basta semplicemente configurarli; apri la console di gestione
> di hMS, vai in settings->anti-spam e poi configura quanto segue
>
> ** General
>
> Spam mark threshold 5
> Spam delete threshold 20
> Max size to scan 1024
>
> ** Spam tests
>
> Use SPF
> Check HELO
> Check MX
> Verify DKIM
>
> ** DNS blacklists (score 20)
>
> zen.spamhaus.org
> bl.spamcop.net
> ix.dnsbl.manitu.net
>
> ** SURBL servers (score 20)
>
> dbl.spamhaus.org
>
> ** Greylisting
>
> enable
> defer 2
> unused days 3
> used days 93
>
> bypass on SPF
> Bypass A/MX

Molto gentile
Provo subito
ObiWan 13 Mag 2016 16:33
:: On Fri, 13 May 2016 12:59:48 +0200
:: (it.comp.reti.locali)
:: <nh4b9c$rl6$1@virtdiesel.mng.cu.mi.it>
:: RobertoA <amorosik@tiscalinet.it> wrote:

> Molto gentile
> Provo subito

Considera che quelle impostazioni sono solo un punto di partenza,
probabilmente dovrai "tararle" pian piano in modo da filtrare le email
come desideri; inoltre, volendo, ci sarebbe la possibilità di usare
ClamAV per effettuare la scansione delle email in transito ed anche
SpamAssassin per un ulteriore controllo sulla posta in ingresso; in
qualsiasi caso, ti consiglio di leggerti il manuale di hMS e di dare
una bella occhiata ai forums dato che contengono parecche informazioni
utili
RobertoA 14 Mag 2016 11:43
Il 13/05/2016 16:33, ObiWan ha scritto:
> :: On Fri, 13 May 2016 12:59:48 +0200
> :: (it.comp.reti.locali)
> :: <nh4b9c$rl6$1@virtdiesel.mng.cu.mi.it>
> :: RobertoA <amorosik@tiscalinet.it> wrote:
>
>> Molto gentile
>> Provo subito
>
> Considera che quelle impostazioni sono solo un punto di partenza,
> probabilmente dovrai "tararle" pian piano in modo da filtrare le email
> come desideri; inoltre, volendo, ci sarebbe la possibilità di usare
> ClamAV per effettuare la scansione delle email in transito ed anche
> SpamAssassin per un ulteriore controllo sulla posta in ingresso; in
> qualsiasi caso, ti consiglio di leggerti il manuale di hMS e di dare
> una bella occhiata ai forums dato che contengono parecche informazioni
> utili

Allora ho provato a seguire i tuoi consigli
Ho anche installato SpamAssassin ed avviato lo spamD.exe, poi attivato
su Hmail il collegamento
Ma il continuo flusso di email in arrivo e' comunque un problema
Rende il mail-server inutilizzabile
Se dal di fuori mando un'email, viene vista dai pc interni la lan dopo ore
Qualche volta non viene vista proprio
Vedo sul log (awstats) che gli ip di partenza bene o male si ripetono
Tutta roba 1.xx oppure 118.xx sembrano da Taiwan
Raffiche da 50-60 email al secondo
Ma e' possibile identificare chi invia?
Come si ferma 'sta roba ?
Ciao e grazie
RobertoA
ObiWan 16 Mag 2016 08:35
:: On Sat, 14 May 2016 11:43:29 +0200
:: (it.comp.reti.locali)
:: <nh6r68$l41$1@virtdiesel.mng.cu.mi.it>
:: RobertoA <amorosik@tiscalinet.it> wrote:

> Allora ho provato a seguire i tuoi consigli
> Ho anche installato SpamAssassin ed avviato lo spamD.exe, poi
> attivato su Hmail il collegamento

ok, ma quello serve per l'*****isi delle email già "accettate" in
ingresso, di contro i checks su blacklist/SPF funzionano in fase di
connessione

> Ma il continuo flusso di email in arrivo e' comunque un problema
> Rende il mail-server inutilizzabile Se dal di fuori mando un'email,
> viene vista dai pc interni la lan dopo ore

Strano, ma sei sicuro che il server non sia un open relay (ad es. per
un errore di configurazione) o che non vi siano account compromessi ed
usati per l'invio di robaccia ?

Controlla i log del server e verifica bene se vi sono logon da IP
"strani" o invio emails verso domini "strani"
RobertoA 16 Mag 2016 11:06
Il 16/05/2016 08:35, ObiWan ha scritto:
> :: On Sat, 14 May 2016 11:43:29 +0200
> :: (it.comp.reti.locali)
> :: <nh6r68$l41$1@virtdiesel.mng.cu.mi.it>
> :: RobertoA <amorosik@tiscalinet.it> wrote:
>
>> Allora ho provato a seguire i tuoi consigli
>> Ho anche installato SpamAssassin ed avviato lo spamD.exe, poi
>> attivato su Hmail il collegamento
>
> ok, ma quello serve per l'*****isi delle email già "accettate" in
> ingresso, di contro i checks su blacklist/SPF funzionano in fase di
> connessione
>
>> Ma il continuo flusso di email in arrivo e' comunque un problema
>> Rende il mail-server inutilizzabile Se dal di fuori mando un'email,
>> viene vista dai pc interni la lan dopo ore
>
> Strano, ma sei sicuro che il server non sia un open relay (ad es. per
> un errore di configurazione) o che non vi siano account compromessi ed
> usati per l'invio di robaccia ?
>
> Controlla i log del server e verifica bene se vi sono logon da IP
> "strani" o invio emails verso domini "strani"

Il serve email in rete locale non invia, riceve solamente
L'invio avviene dai singoli client, usando il server email fornito dal
gestore connettivita', che e' Telecom credo
Come verificare che Hamil non sia configurato come open relay?
ObiWan 16 Mag 2016 12:17
:: On Mon, 16 May 2016 11:06:55 +0200
:: (it.comp.reti.locali)
:: <nhc1pm$4at$1@virtdiesel.mng.cu.mi.it>
:: RobertoA <amorosik@tiscalinet.it> wrote:

> Il serve email in rete locale non invia, riceve solamente
> L'invio avviene dai singoli client, usando il server email fornito
> dal gestore connettivita', che e' Telecom credo Come verificare che
> Hmail non sia configurato come open relay?

Te l'ho detto, controlla i logs SMTP, se trovi email in uscita (specie
verso indirizzi sconosciuti) o accessi autenticati da IP strani dovrai
ricontrollare la config di hMS e/o modificare le credenziali utilizzate
per l'autenticazione

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.