So verhindern Sie, dass gehackte E-Mails Spam versenden

1527
Dan

Ich bin neu in dieser ganzen Server-Admin-Sache ...

Ich arbeite für eine kleine Firma, in der ich Webentwickler und Serveradministrator bin (eine Aufgabe, in die ich geworfen wurde). Bevor Sie diesen Job annehmen, wusste ich nichts über die Verwendung von SSH oder Linux, außer mit der GUI-Ubuntu-Benutzeroberfläche herumzuspielen.

Ich brachte mir die Seile bei, lernte SSH, lernte fast alles in WHM. Ich habe den Dreh raus, kann aber trotzdem nicht alles alleine lösen.

Wir hatten zwei Hauptprobleme:

  1. PHP Mail wurde kompromittiert, um Spam zu versenden.
  2. Kontokennwörter wurden entführt, um Spam zu versenden.

Ich habe das Problem behoben, indem ich meine Skripte gesichert habe, da ich viele davon selbst geschrieben habe. Ich habe auch RIPS verwendet, um meine Code-Schwachstellen zu identifizieren und zu sichern.

Ich habe jedoch immer noch Probleme mit Kontokennwörtern legitimer Benutzer, die entführt und gelegentlich zum Versenden von Spam verwendet werden. Für 95% meiner E-Mail-Benutzer ist dies keine große Sache, da wir das Konto, das Spam sendet, schnell finden und erneut sichern können.

Ein bestimmter Benutzer ist jedoch immer in Kontakt mit einer Person, die Cisco Senderbase zum Filtern von E-Mails verwendet. Wenn unser E-Mail-Volumen mit einem kompromittierten E-Mail-Konto steigt, kennzeichnet Senderbase unseren E-Mail-Ruf und wir müssen ihn normalerweise abwarten, da sein System vollständig automatisiert ist.

Wie kann man Benutzerpasswörter am besten vor gehacktem oder erratenem Verhalten schützen?

-1
Du kannst nicht Sie können die Anzahl der E-Mails, die innerhalb eines bestimmten Zeitraums versendet werden, begrenzen. Wenn das Kennwort für das Konto angegeben wird, können Sie nicht überprüfen, ob es sich um den Kontoinhaber oder um eine andere Person handelt. Mein Vorschlag erzwingt eine Passwortlänge der Passwortkomplexität, um Brute-Force-Angriffe zu verhindern. Abgesehen davon können Sie nicht viel tun. Wenn Sie es lösen, haben Sie die nächsten hundert Milliarden Dollar-Idee Ramhound vor 10 Jahren 1
Was meinen Sie damit, wenn Sie sagen, dass E-Mail-Konten legitimer Benutzer zum Versenden von Spam verwendet werden? Beachten Sie, dass SMTP standardmäßig die Absenderüberprüfung * null * vornimmt. Ich kann die E-Mail "From: president @ whitehouse.gov" an den Gelegenheitsbeobachter senden und so aussehen lassen, als wäre er wirklich von dieser Adresse gekommen. Wenn sich jemand mit einem kompromittierten Konto bei Ihrem System anmeldet, haben Sie ein größeres Problem als einige Spam-E-Mails, die unter diesem Konto verschickt werden, und Sie müssen stattdessen an der Behebung von * dieses * arbeiten ). a CVn vor 10 Jahren 0
Wenn ich seriöse E-Mails sage, meine ich nicht, dass jemand gefälscht wird. Unsere Post ist bei SPF und DKIM unterschrieben, um zu verhindern, auf was Sie sich beziehen. Worüber ich spreche, ist, wenn ich weiß, dass ich userabc@mydomain.com eingerichtet habe, und mithilfe eines angegriffenen Kennworts dieses Konto zum Versenden von Hunderten von Spam-E-Mails verwendet wurde. Dan vor 10 Jahren 0
Ihr Problem ist also, dass die Passwörter des E-Mail-Kontos regelmäßig gefährdet werden. Nicht wirklich, wie man das Versenden von Spam verhindern kann. a CVn vor 10 Jahren 0
Ja, das könnte man sagen. Dan vor 10 Jahren 0
Ich habe ClamAv eingerichtet ... es schien nicht wirklich zu helfen. Dan vor 10 Jahren 0
In diesem Fall müssen Sie sich Ihre Kennwortverwaltung ansehen. Beginnen Sie mit dem Kommentar von @ Ramhound, und [Bearbeiten] Sie diese Frage (oder veröffentlichen Sie sogar eine neue), um zu verhindern, dass die Passwörter der Benutzer gefährdet werden. * Seien Sie jedoch spezifisch *, dass das Thema sehr leicht als zu umfangreich abgeschlossen werden kann, es sei denn, Sie stellen eine ganz bestimmte Frage dazu. a CVn vor 10 Jahren 0
Danke Michael, ich werde ein wenig mehr nachforschen, bevor ich etwas aktualisiere oder frage. Dan vor 10 Jahren 0
Es wäre auch nützlich, wenn Sie sagen könnten, welchen Mail-Server Sie verwenden - sendmail, postfix, exim ... Ich weiß, dass Sie die Anzahl der E-Mails, die von Postfix mit Amboss gesendet werden, einschränken können, und Sie können mehr haben Kontrolle mit Policyd. Wenn Sie Postfix verwenden, können Sie sie sich ansehen. Valmiky Arquissandas vor 10 Jahren 0
Und befinden Sie sich immer noch auf denselben Servern, die gefährdet wurden? Dann haben Sie keine Ahnung, welche andere Malware dort lauert, und Ihr Basteln hilft nicht, da der Angreifer eine Hintertür hinterlassen hat, mit der er Ihr System sofort wieder komprimieren kann. Nachdem ein Server angegriffen wurde, gibt es im Allgemeinen nur eine Möglichkeit: Löschen Sie ihn, installieren Sie alles neu und legen Sie Ihre gesicherten Daten zurück. Jan Doggen vor 10 Jahren 0
Ich würde empfehlen, einen kostenpflichtigen E-Mail-Dienst wie Office365 zu suchen, um sich um Ihren E-Mail-Service zu kümmern. Einen beschädigten E-Mail-Server ohne Erfahrung zu reparieren, ist ein harter Kampf, den Sie möglicherweise verlieren ... Sie werden am Ende mehr Zeit aufwenden ( Zeit = Geld) und Geld, um das Problem zu lösen (und den Dienst aufrechtzuerhalten), als wenn ein dedizierter externer Dienst in Anspruch genommen würde. Dort gewesen, getan, beste Entscheidung, die je getroffen wurde. Kinnectus vor 8 Jahren 0

3 Antworten auf die Frage

2
uSlackr

Benötigen Sie starke, komplexe Passwörter? Sperren Sie Benutzer nach einer Reihe fehlerhafter Kennwortversuche? Beides kann die Zeit, mit der ein Konto gefährdet wird, erheblich verlängern. Wenn eine Weboberfläche für E-Mail vorhanden ist, können Sie fail2banIP-Adressen blockieren, die mehrere fehlgeschlagene Anmeldeversuche verursachen.

Es ist jedoch möglich, dass ein tieferer Kompromiss besteht. In diesem Fall benötigen Sie möglicherweise einen erfahreneren Administrator, der die Erkennung erleichtert.

0
cybernard

Hier ist das Dokument, das ich hilfreich fand

https://lelutin.ca/posts/installing_postfix_- clamav - .spamassassin - dovecot -_postfixadmin_on_debian_squeeze /

Es sind fast 20 Seiten, in denen die genauen Einstellungen und Konfigurationen für das Mail-System detailliert beschrieben werden. Obwohl es für debian geschrieben wurde, habe ich es für OpenSuse bekommen und andere können auch arbeiten.

Fügen Sie fail2ban hinzu und fordern Sie lange komplexe Passwörter an, um zu sehen, wie das geht.

0
davidgo

Wie @ ramhound gesagt hat, können Sie nicht verhindern, dass gehackte E-Mails im allgemeinen Fall Spam versenden.

Ein Tool, das für mich einen RIESIGEN Unterschied gemacht hat, war die Installation von "Cluebringer" (Policyd). Dieses Programm ist in Postfix integriert und kann verwendet werden, um die Anzahl der E-Mails zu begrenzen, die von einem bestimmten Benutzer in einem bestimmten Zeitraum gesendet werden. Wenn Sie diese Einstellung richtig vornehmen und Ihre Mailq genau überwachen (was sich so anhört, als würden Sie es trotzdem tun), wird dies einen großen Unterschied ausmachen - insbesondere, da senderbase das Volumen der gesendeten E-Mails untersucht.

Es kann auch erforderlich sein, dass Benutzer die SMTP-Authentifizierung verwenden, damit Sie ein Konto für Zwecke der Richtlinieneinschränkung mit cluebringer problemlos an einen Benutzer binden können. (Und für mein Geschäft habe ich festgestellt, dass 200 E-Mails pro Stunde eine gute Schwelle sind.)