{"id":73,"date":"2015-05-12T08:36:43","date_gmt":"2015-05-12T08:36:43","guid":{"rendered":"http:\/\/www.smtp-server.net\/?p=73"},"modified":"2015-05-04T20:34:51","modified_gmt":"2015-05-04T20:34:51","slug":"auth-smtp-proste-kroki-aby-zatrzymac-atak-przekaznika-auth-smtp-i-zidentyfikowac-zainfekowane-konto-e-mail-dla-postfix","status":"publish","type":"post","link":"https:\/\/www.smtp-server.net\/pl\/auth-smtp-proste-kroki-aby-zatrzymac-atak-przekaznika-auth-smtp-i-zidentyfikowac-zainfekowane-konto-e-mail-dla-postfix\/","title":{"rendered":"Auth SMTP - Proste kroki do zatrzymania ataku SMTP AUTH Relay i identyfikacji skompromitowanego konta e-mail dla Postfixa"},"content":{"rendered":"
https:\/\/youtube.com\/watch?v=IaGV9l_3xZM<\/div>\n

Obecnie wiele aplikacji pocztowych, takich jak Sendmail, Postfix, a nawet MS Exchange, zosta\u0142o przeprojektowanych w celu zmniejszenia mo\u017cliwo\u015bci stania si\u0119 \u2018przeka\u017anikiem spamu\u2019. Z naszego do\u015bwiadczenia wynika, \u017ce wi\u0119kszo\u015b\u0107 atak\u00f3w SMTP AUTH relay jest spowodowana naruszeniem s\u0142abo chronionych has\u0142em kont u\u017cytkownik\u00f3w. Gdy konta zostan\u0105 wykryte i naruszone. Spamerzy uwierzytelniaj\u0105 si\u0119 przy u\u017cyciu danych uwierzytelniaj\u0105cych u\u017cytkownika, uzyskuj\u0105 dost\u0119p do przeka\u017anika za po\u015brednictwem serwera, kt\u00f3ry jest nast\u0119pnie wykorzystywany do wysy\u0142ania spamu.<\/p>\n

<\/p>\n

Poni\u017cej znajduj\u0105 si\u0119 proste kroki, aby szybko zatrzyma\u0107 te wiadomo\u015bci spamowe i zidentyfikowa\u0107, kt\u00f3re konto (konta) zosta\u0142o naruszone.<\/p>\n

Krok 1: Zatrzymanie kolejki poczty oczekuj\u0105cej<\/strong>.<\/p>\n

Du\u017ca ilo\u015b\u0107 spamu stale kolejkuje si\u0119 w buforze poczty. Najgorsze jest to, \u017ce ca\u0142y spam zape\u0142nia ca\u0142y \/var. Dlatego zawsze nale\u017cy tymczasowo wstrzyma\u0107 kolejk\u0119 poczty, dop\u00f3ki nie dowiesz si\u0119, kt\u00f3re konto zosta\u0142o wykorzystane przez spamera i wys\u0142a\u0142o du\u017c\u0105 ilo\u015b\u0107 wiadomo\u015bci e-mail.<\/p>\n

Krok 2: Sprawd\u017a dziennik poczty.<\/strong><\/p>\n

Przejd\u017a do \/var\/log\/maillog, aby rzuci\u0107 okiem na lini\u0119 z from:. Mo\u017cesz zobaczy\u0107 wiele nazw domen e-mail, kt\u00f3re nie nale\u017c\u0105 do Twojej organizacji. Wynika to z faktu, \u017ce spamer podszywa si\u0119 pod poczt\u0119 od:.<\/p>\n

Krok 3: Identyfikacja naruszonego konta uwierzytelniaj\u0105cego po\u0142\u0105czenie SMTP AUTH<\/strong><\/p>\n

Nast\u0119pnie sprawd\u017amy te konta e-mail, kt\u00f3re zosta\u0142y wykorzystane. Uruchom polecenie cat grep sasl_username i posortuj je. Powiniene\u015b zobaczy\u0107 d\u0142ug\u0105 list\u0119 pr\u00f3b logowania i sesji dla tych wykorzystanych kont. Mo\u017cesz r\u00f3wnie\u017c wykona\u0107 szybkie obliczenia, uruchamiaj\u0105c polecenie wc -l, aby zobaczy\u0107 ca\u0142kowit\u0105 liczb\u0119 sesji dla danego u\u017cytkownika.<\/p>\n

Krok 4: Wy\u0142\u0105cz zaatakowane konto e-mail.<\/strong><\/p>\n

Raz mamy ci\u0105g SASL_username, kt\u00f3ry jest kontem u\u017cytkownika. Zaleca si\u0119 wy\u0142\u0105czenie lub zmian\u0119 has\u0142a na z\u0142o\u017cone.<\/p>\n

Krok 5: Przenie\u015b kolejk\u0119 poczty lub usu\u0144 spam.<\/strong><\/p>\n

Teraz musimy zaj\u0105\u0107 si\u0119 nasz\u0105 kolejk\u0105 poczty. Najprostszym i najszybszym sposobem jest przeniesienie kolejki poczty i zaj\u0119cie si\u0119 ni\u0105 p\u00f3\u017aniej. Mo\u017cna te\u017c usun\u0105\u0107 spam za pomoc\u0105 skryptu Bash.<\/p>\n

Krok 6: Zwolnienie kolejki poczty<\/strong><\/p>\n

Pami\u0119taj, aby zwolni\u0107 kolejk\u0119 poczty po naszym procesie sprz\u0105tania i monitorowa\u0107 ruch pocztowy.<\/p>","protected":false},"excerpt":{"rendered":"

Today lots of the email application such as Sendmail, Postfix, or even MS Exchange has been re-designed to reduce the possibility of become an ‘spam-relay’. From our experience, most of the SMTP AUTH relay attack is caused by the compromised of the weakly password protected user accounts. Once the accounts discovered and been compromised. Spammer Read more about Auth SMTP – Easy Steps to Stop SMTP AUTH Relay Attack and Identify Compromised Email Account for Postfix<\/span>[...]<\/a><\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-73","post","type-post","status-publish","format-standard","hentry","category-smtp-servers"],"_links":{"self":[{"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/posts\/73","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/comments?post=73"}],"version-history":[{"count":1,"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/posts\/73\/revisions"}],"predecessor-version":[{"id":74,"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/posts\/73\/revisions\/74"}],"wp:attachment":[{"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/media?parent=73"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/categories?post=73"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.smtp-server.net\/pl\/wp-json\/wp\/v2\/tags?post=73"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}