Auth SMTP - Etapes faciles pour arrêter l'attaque SMTP AUTH Relay et identifier le compte email compromis pour Postfix

https://youtube.com/watch?v=IaGV9l_3xZM

Aujourd'hui, de nombreuses applications de courrier électronique telles que Sendmail, Postfix ou même MS Exchange ont été conçues pour réduire la possibilité de devenir un ‘relais de spam’. D'après notre expérience, la plupart des attaques par relais SMTP AUTH sont dues à la compromission de comptes d'utilisateurs faiblement protégés par un mot de passe. Une fois les comptes découverts et compromis, le spammeur s'authentifie en utilisant le compte de l'utilisateur. Les spammeurs s'authentifient à l'aide des informations d'identification de l'utilisateur, ils sont autorisés à relayer via le serveur, qui est ensuite utilisé pour envoyer des spams.

Vous trouverez ci-dessous les étapes simples à suivre pour mettre rapidement fin à ces e-mails indésirables et identifier le ou les comptes qui ont été piratés.

Étape 1 : Arrêter la file d'attente des e-mails en attente.

Une grande quantité de courriers indésirables ne cesse d'encombrer votre file d'attente de messagerie. Pire encore, tous ces spams saturent votre répertoire /var. Il est donc toujours préférable de bloquer temporairement la file d'attente de messagerie jusqu'à ce que vous identifiiez le compte qui a été piraté par un spammeur et qui envoie un grand nombre de courriers.

Étape 2 : Vérifiez votre journal des e-mails.

Accédez au répertoire /var/log/maillog pour jeter un coup d'œil à la ligne contenant l'en-tête « From: ». Vous y verrez peut-être de nombreux noms de domaine de messagerie qui n'appartiennent pas à votre organisation. Cela s'explique par le fait que les spammeurs falsifient l'en-tête « From: ».

Étape 3 : Identifier les comptes compromis lors de l'authentification via une connexion SMTP AUTH

Ensuite, vérifions les comptes de messagerie qui ont été piratés. Exécutez la commande `have cat grep sasl_username` et triez les résultats. Vous devriez voir apparaître une longue liste des tentatives de connexion et des sessions associées à ces comptes piratés. Vous pouvez également effectuer un calcul rapide en exécutant la commande `wc -l` pour connaître le nombre total de sessions d'un utilisateur donné.

Étape 4 : Désactivez le compte de messagerie piraté.

Une fois que nous disposons de la chaîne SASL_username, qui correspond au compte utilisateur, il est recommandé de désactiver ce compte ou de modifier son mot de passe pour en choisir un plus complexe.

Étape 5 : Déplacer la file d'attente de courrier ou supprimer l'e-mail indésirable

Il faut maintenant s'occuper de notre file d'attente de courriers. La solution la plus simple et la plus rapide consiste à déplacer cette file d'attente et à faire le ménage plus tard. Vous pouvez également supprimer ces spams à l'aide d'un script Bash.

Étape 6 : Libérer la file d'attente des e-mails

N'oubliez pas de vider la file d'attente des e-mails une fois notre processus de maintenance terminé et de continuer à surveiller le trafic de messagerie.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tout le monde sait que disposer d'un serveur SMTP fiable est la clé pour que votre courrier électronique soit distribué correctement. Il est également bien connu que PERSONNE ne propose plus de serveur SMTP sans authentification ou pour un relais ouvert. MAIS VOUS POUVEZ TOUJOURS OBTENIR UN SERVEUR SMTP DE HAUTE QUALITÉ GRATUITEMENT POUR VOTRE USAGE !

Cliquez ici pour obtenir votre SERVEUR SMTP GRATUIT