[GTER] Ataques de e-mail - Envio de e-mails fraudulentos de dentro da rede.
Alexandre Aleixo | Opticalhost
alexandre at opticalhost.com.br
Mon Nov 8 17:14:28 -03 2021
Talvez eu esteja enganado (e se eu estiver, alguém por favor me corrija),
mas creio que o bloqueio de portas no Mikrotik só afeta os IPs e serviços
que "terminam" no próprio MK, não nos IPs que ele roteia pra outros
dispositivos.
No seu lugar, eu criaria uma regra de NAT encaminhando as portas desejadas
pro IP 0.0.0.0... Assim o efeito seria o efeito de "bloqueio" que você
quer...
Algo assim:
/ip firewall nat
add action=dst-nat chain=dstnat comment="BLOQUEIO ENTRADA 25" dst-address=\
xxx.xxx.xxx.0/22 dst-port=25 protocol=tcp to-addresses=0.0.0.0 \
(onde xxx.xxx.xxx.0/22 é bloco da sua rede).
Alexandre Aleixo
Em seg., 8 de nov. de 2021 às 16:54, Renan Menezes <renanitmanager at gmail.com>
escreveu:
> Boa tarde pessoal!
>
> Tenho uma rede aqui que está lotando de ataques vindo da Internet para
> servidores de e-mail em clientes da minha rede.
>
> Multiplas origens, exemplos:
> 200.147.99.132
> 191.6.216.99
> 172.217.192.109
>
> Na empresa em qual trabalho estamos com muitas tentativas de abuso de
> servidores de e-mail que não possuímos na rede.
>
> Realizei o bloqueio das portas 25 e depois de recebermos que houve origem
> de nossos IPs em e-mails fraudulentos bloqueamos as entradas com destino a
> nossos clientes nas porta 143, 220, 465 e 587.
>
> Aqui trabalhamos com Mikrotik, mas mesmo depois de ter bloqueado as portas
> ainda sim estou sendo avisado de e-mails fraudulentos saindo de minha rede.
>
> Gostaria de uma ajuda para tentar esclarecer proteções para impedir tais
> problemas.
>
> Já implementamos as melhores práticas no sentido de antispoof, anti spam e
> proteções de portas que o usuários possam vir a esquecer e serem usadas em
> ataques de amplificação.
>
> Desde já muito obrigado!
>
> Atenciosamente
> Renan I. A. de Menezes
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list