[GTER] RES: Ataques de e-mail - Envio de e-mails fraudulentos de dentro da rede.

uenderson_vitor at yahoo.com.br uenderson_vitor at yahoo.com.br
Mon Nov 8 22:06:42 -03 2021 

Ola, Alexandre Aleixo,

	Depende do chain utilizado para criar a regra, se utilizar input/output é isso mesmo... Porem pode utilizar o "chain" forwardingo, já se aplica ao trafego que passa pelo roteador mikrotik... Ainda se usar a tabela raw ele apenas diferencia prerouting(antes de ser processado o roteamento) e postrouting(depois de processar o roteamento).

Renanitmanager, Pelo que entendi sua rede está originando os e-mails, tente acompanhar os ips reportados, vc pode fazer de varias formas no mikrotik. Pode utilizar regras de firewall, pakage snif entre outros. Isso vai te ajudar a identificar as portas e protocolos utilizados. Depois de identificar ai cria as regras de firewall especificas.

-----Mensagem original-----
De: gter <gter-bounces at eng.registro.br> Em nome de Alexandre Aleixo | Opticalhost
Enviada em: segunda-feira, 8 de novembro de 2021 17:14
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Assunto: Re: [GTER] Ataques de e-mail - Envio de e-mails fraudulentos de dentro da rede.

Talvez eu esteja enganado (e se eu estiver, alguém por favor me corrija), mas creio que o bloqueio de portas no Mikrotik só afeta os IPs e serviços que "terminam" no próprio MK, não nos IPs que ele roteia pra outros dispositivos.

No seu lugar, eu criaria uma regra de NAT encaminhando as portas desejadas pro IP 0.0.0.0... Assim o efeito seria o efeito de "bloqueio" que você quer...

Algo assim:

/ip firewall nat
add action=dst-nat chain=dstnat comment="BLOQUEIO ENTRADA 25" dst-address=\
     xxx.xxx.xxx.0/22 dst-port=25 protocol=tcp to-addresses=0.0.0.0 \

(onde xxx.xxx.xxx.0/22 é bloco da sua rede).

Alexandre Aleixo




Em seg., 8 de nov. de 2021 às 16:54, Renan Menezes <renanitmanager at gmail.com>
escreveu:

> Boa tarde pessoal!
>
> Tenho uma rede aqui que está lotando de ataques vindo da Internet para 
> servidores de e-mail em clientes da minha rede.
>
> Multiplas origens, exemplos:
>  200.147.99.132
>  191.6.216.99
>  172.217.192.109
>
> Na empresa em qual trabalho estamos com muitas tentativas de abuso de 
> servidores de e-mail que não possuímos na rede.
>
> Realizei o bloqueio das portas 25 e depois de recebermos que houve 
> origem de nossos IPs em e-mails fraudulentos bloqueamos as entradas 
> com destino a nossos clientes nas porta 143, 220, 465 e 587.
>
> Aqui trabalhamos com Mikrotik, mas mesmo depois de ter bloqueado as 
> portas ainda sim estou sendo avisado de e-mails fraudulentos saindo de minha rede.
>
> Gostaria de uma ajuda para tentar esclarecer proteções para impedir 
> tais problemas.
>
> Já implementamos as melhores práticas no sentido de antispoof, anti 
> spam e proteções de portas que o usuários possam vir a esquecer e 
> serem usadas em ataques de amplificação.
>
> Desde já muito obrigado!
>
> Atenciosamente
> Renan I. A. de Menezes
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter


-- 
Este email foi escaneado pelo Avast antivírus.
https://www.avast.com/antivirus

More information about the gter mailing list