[GTER] Data para Bloqueio da porta 25 (Demi Getschko)
Andre Ramoni
andre.ramoni at gmail.com
Wed Jan 6 12:16:14 -02 2010
On Jan 6, 2010, at 12:09 PM, Antonio Carlos Pina wrote:
> Onde você viu isso ? Pode dar um exemplo ?
>
O que ? Do servidor aceitar emails de e para dominios que nem existiam ? foi no meu ultimo emprego.
Ao consertar isso a media da fila de emails baixou bastante e o provedor parou de ser listado em DNSBLs.
> Nunca vi porta 587 sem autenticação. É simplesmente inútil.
>
O problema nao é so autenticacao. Regras pra porta 587 tem que ser diferentes pois o foco é outro.
Os virus hoje tambem autenticam e na minha opiniao os erros mais frequentes sao justamente liberar cegamente tudo que é autenticado sem checar se o from bate com o login nem validar os dominios.
Como eu disse, muita gente habilita no postfix o servico submission no master.cf e deixa com as opcoes default que sao as que citei.
> Pina
>
> 2010/1/6 Andre Ramoni <andre.ramoni at gmail.com>
>
>> Acho tudo isso muito legal, mas sabe o que tenho visto por ai ?
>> Newbies implementando as mesmas politicas da porta 25 pra porta 587.
>>
>> No caso do postfix, o erro mais comum é na porta 587 manter
>> permit_mynetworks,permit_sasl_authenticated,reject.
>>
>> Se a porta 587 é so para envio autenticado, porque permitir IPs ?
>> E o erro mais grave.. permitir cegamente tudo que foi autenticado sem nem
>> checar se o dominio destino existe (o de origem deveria estar vinculado a
>> autenticacao claro).
>> Acreditem, ja trabalhei num provedor que aceitava emails de/para dominios
>> que nao existem, o que gerava ataques em massa a outros provedores e depois
>> a volta dos bounces...
>>
>> Resumindo, acho tudo isso muito legal, mas se o carinha que for la
>> configurar o servidor for um sysadmin ostra, vai bastar os virus e botnets
>> mudarem pra porta 587....
>>
>>
>>
>> On Jan 6, 2010, at 11:08 AM, Danton Nunes wrote:
>>
>>> On Wed, 6 Jan 2010, Leandro Freitas wrote:
>>>
>>>> Será que eles querem evitar, com isso, que uma máquina possa ser
>> utilizada
>>>> como "MTA zumbi"?
>>>
>>> BINGO! Em redes corporativas não só se faz bloquear o que sai para 25/tcp
>> (exceto dos MTAs legítimos, claro), como registrar os eventos de tentativa
>> de saída, o que permite descobrir o endereço IP dos zumbis, e daí por alguma
>> mágica (p.ex. endereço MAC embutido no IPv6), localizar a máquina e
>> descontaminá-la.
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list