[GTER] Data para Bloqueio da porta 25 (Demi Getschko)

Andre Ramoni andre.ramoni at gmail.com
Wed Jan 6 12:16:14 -02 2010


On Jan 6, 2010, at 12:09 PM, Antonio Carlos Pina wrote:

> Onde você viu isso ? Pode dar um exemplo ?
> 
O que ? Do servidor aceitar emails de e para dominios que nem existiam ? foi no meu ultimo emprego.
Ao consertar isso a media da fila de emails baixou bastante e o provedor parou de ser listado em DNSBLs.

> Nunca vi porta 587 sem autenticação. É simplesmente inútil.
> 
O problema nao é so autenticacao. Regras pra porta 587 tem que ser diferentes pois o foco é outro.
Os virus hoje tambem autenticam e na minha opiniao os erros mais frequentes sao justamente liberar cegamente tudo que é autenticado sem checar se o from bate com o login nem validar os dominios.

Como eu disse, muita gente habilita no postfix o servico submission no master.cf e deixa com as opcoes default que sao as que citei.




> Pina
> 
> 2010/1/6 Andre Ramoni <andre.ramoni at gmail.com>
> 
>> Acho tudo isso muito legal, mas sabe o que tenho visto por ai ?
>> Newbies implementando as mesmas politicas da porta 25 pra porta 587.
>> 
>> No caso do postfix, o erro mais comum é na porta 587 manter
>> permit_mynetworks,permit_sasl_authenticated,reject.
>> 
>> Se a porta 587 é so para envio autenticado, porque permitir IPs ?
>> E o erro mais grave.. permitir cegamente tudo que foi autenticado sem nem
>> checar se o dominio destino existe (o de origem deveria estar vinculado a
>> autenticacao claro).
>> Acreditem, ja trabalhei num provedor que aceitava emails de/para dominios
>> que nao existem, o que gerava ataques em massa a outros provedores e depois
>> a volta dos bounces...
>> 
>> Resumindo, acho tudo isso muito legal, mas se o carinha que for la
>> configurar o servidor for um sysadmin ostra, vai bastar os virus e botnets
>> mudarem pra porta 587....
>> 
>> 
>> 
>> On Jan 6, 2010, at 11:08 AM, Danton Nunes wrote:
>> 
>>> On Wed, 6 Jan 2010, Leandro Freitas wrote:
>>> 
>>>> Será que eles querem evitar, com isso, que uma máquina possa ser
>> utilizada
>>>> como "MTA zumbi"?
>>> 
>>> BINGO! Em redes corporativas não só se faz bloquear o que sai para 25/tcp
>> (exceto dos MTAs legítimos, claro), como registrar os eventos de tentativa
>> de saída, o que permite descobrir o endereço IP dos zumbis, e daí por alguma
>> mágica (p.ex. endereço MAC embutido no IPv6), localizar a máquina e
>> descontaminá-la.
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list