Auth SMTP - Proste kroki do zatrzymania ataku SMTP AUTH Relay i identyfikacji skompromitowanego konta e-mail dla Postfixa

Szpilka
https://youtube.com/watch?v=IaGV9l_3xZM

Obecnie wiele aplikacji pocztowych, takich jak Sendmail, Postfix, a nawet MS Exchange, zostało przeprojektowanych w celu zmniejszenia możliwości stania się ‘przekaźnikiem spamu’. Z naszego doświadczenia wynika, że większość ataków SMTP AUTH relay jest spowodowana naruszeniem słabo chronionych hasłem kont użytkowników. Gdy konta zostaną wykryte i naruszone. Spamerzy uwierzytelniają się przy użyciu danych uwierzytelniających użytkownika, uzyskują dostęp do przekaźnika za pośrednictwem serwera, który jest następnie wykorzystywany do wysyłania spamu.

Poniżej znajdują się proste kroki, aby szybko zatrzymać te wiadomości spamowe i zidentyfikować, które konto (konta) zostało naruszone.

Krok 1: Zatrzymanie kolejki poczty oczekującej.

Duża ilość spamu stale kolejkuje się w buforze poczty. Najgorsze jest to, że cały spam zapełnia cały /var. Dlatego zawsze należy tymczasowo wstrzymać kolejkę poczty, dopóki nie dowiesz się, które konto zostało wykorzystane przez spamera i wysłało dużą ilość wiadomości e-mail.

Krok 2: Sprawdź dziennik poczty.

Przejdź do /var/log/maillog, aby rzucić okiem na linię z from:. Możesz zobaczyć wiele nazw domen e-mail, które nie należą do Twojej organizacji. Wynika to z faktu, że spamer podszywa się pod pocztę od:.

Krok 3: Identyfikacja naruszonego konta uwierzytelniającego połączenie SMTP AUTH

Następnie sprawdźmy te konta e-mail, które zostały wykorzystane. Uruchom polecenie cat grep sasl_username i posortuj je. Powinieneś zobaczyć długą listę prób logowania i sesji dla tych wykorzystanych kont. Możesz również wykonać szybkie obliczenia, uruchamiając polecenie wc -l, aby zobaczyć całkowitą liczbę sesji dla danego użytkownika.

Krok 4: Wyłącz zaatakowane konto e-mail.

Raz mamy ciąg SASL_username, który jest kontem użytkownika. Zaleca się wyłączenie lub zmianę hasła na złożone.

Krok 5: Przenieś kolejkę poczty lub usuń spam.

Teraz musimy zająć się naszą kolejką poczty. Najprostszym i najszybszym sposobem jest przeniesienie kolejki poczty i zajęcie się nią później. Można też usunąć spam za pomocą skryptu Bash.

Krok 6: Zwolnienie kolejki poczty

Pamiętaj, aby zwolnić kolejkę poczty po naszym procesie sprzątania i monitorować ruch pocztowy.

Along The Same Lines As Auth SMTP - Proste kroki do zatrzymania ataku SMTP AUTH Relay i identyfikacji zainfekowanego konta e-mail dla Postfixa

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Wszyscy wiedzą, że posiadanie niezawodnego serwera SMTP jest kluczem do prawidłowego dostarczania wiadomości e-mail. Powszechnie wiadomo również, że NIKT nie oferuje już SMTP bez uwierzytelniania lub otwartego przekaźnika. ALE NADAL MOŻNA UZYSKAĆ WYSOKIEJ JAKOŚCI SERWER SMTP ZA DARMO DO UŻYTKU!

Kliknij tutaj, aby otrzymać DARMOWY SERWER SMTP