Historique de la page
Sv translation | |||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||
Vérifier que le serveur BM n'est pas relai ouvertPar défaut postfix est configuré pour être relai ouvert pour le serveur lui-même, ce qui permet aux différent services (webmail, EAS) d'envoyer des mails, il est possible via la console d'administration d'ajouter de nouvelles IP de confiance qui auront le droit d'envoyer des mails via le serveur BM, il s'agit en général de serveur du SI interne (logiciel de gestion des congés, monitoring, etc). Si un de ces serveur est compromis, un spammer pourra alors utiliser le serveur BM pour envoyer du spam. Vous pouvez détecter le problème par la présence de beaucoup de ligne du type :
La ligne client indique ici l'IP du serveur qui a émis ce mail, ici 192.168.122.111, s'il n'est pas légitime cela signifie que ce serveur est compromis et qu'il est utilisé pour envoyer du spam les actions à mener :
Détecter l'utilisateur utilisé pour envoyer du SPAMLa plupart du temps le problème vient d'un spammer qui a trouvé, souvent par bruteforce, le mot de passe d'un compte utilisateur et il va l'utiliser pour envoyer du SPAM. Vous pouvez identifier les connexions smtp avec la présence de beaucoup de lignes du type :
Les actions à mener :
Comment se protéger de ces attaques ?Limiter les attaques par brute-forcePour limiter les tentatives de bruteforce, vous pouvez utiliser le plugin password-bruteforce, celui ci va bloquer les tentatives de connexion pendant 20 après 3 échecs d'authentification. Mettre en place une politique sur les mots de passeDans le cas ou vous n'utilisez pas un annuaire pour gérer les utilisateurs, vous pouvez utiliser le plugin Comment détecter le problème au plus tôt ?Une solution de monitoring permet de détecter rapidement le problème et de réagir avant que votre serveur ne soit blacklisté par les différents services anti-spam. Bm-tick permet de mettre en place des alertes basées sur une augmentation importante du nombre de mail dans la queue postfix. Vous pouvez configurer cette alerte via le alert builder ou directement utiliser le script suivant :
Ce script va envoyer un mail d'alerte à |
Sv translation | |||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||
Vérifier sur le serveur BM n'est pas relai ouvertPar défaut postfix est configuré pour être relai ouvert pour le serveur lui-même, ce qui permet aux différent services (webmail, EAS) d'envoyer des mails, il est possible via la console d'administration d'ajouter de nouvelles IP de confiance qui auront le droit d'envoyer des mails via le serveur BM, il s'agit en général de serveur du SI interne (logiciel de gestion des congés, monitoring, etc). Si un de ces serveur est compromis, un spammer pourra alors utiliser le serveur BM pour envoyer du spam. Vous pouvez détecter le problème par la présence de beaucoup de ligne du type :
La ligne client indique ici l'IP du serveur qui a émis ce mail, ici 192.168.122.111, s'il n'est pas légitime cela signifie que ce serveur est compromis et qu'il est utilisé pour envoyer du spam les actions à mener :
Détecter l'utilisateur utilisé pour envoyer du SPAMLa plupart du temps le problème vient d'un spammer qui a trouvé, souvent par bruteforce, le mot de passe d'un compte utilisateur et il va l'utiliser pour envoyer du SPAM. Vous pouvez identifier les connexions smtp avec la présence de beaucoup de lignes du type :
Les actions à mener :
Comment se protéger de ces attaques ?Limiter les attaques par brute-forcePour limiter les tentatives de bruteforce, vous pouvez utiliser le plugin password-bruteforce, celui ci va bloquer les tentatives de connexion pendant 20 après 3 échecs d'authentification. Mettre en place une politique sur les mots de passeDans le cas ou vous n'utilisez pas un annuaire pour gérer les utilisateurs, vous pouvez utiliser le plugin Comment détecter le problème au plus tôt ?Une solution de monitoring permet de détecter rapidement le problème et de réagir avant que votre serveur ne soit blacklisté par les différents services anti-spam. Bm-tick permet de mettre en place des alertes basées sur une augmentation importante du nombre de mail dans la queue postfix. Vous pouvez configurer cette alerte via le alert builder ou directement utiliser le script suivant :
Ce script va envoyer un mail d'alerte à |