[GTER] Ataques de e-mail - Envio de e-mails fraudulentos de dentro da rede.
luiz at proserv.com.br
luiz at proserv.com.br
Tue Nov 9 09:48:08 -03 2021
Olá
Na minha opinião vc precisa inicialmente descobrir quais são seus clientes infectados com bootnets para assim iniciar uma tratativa.
Com Mikrotik você pode criar uma regra na sua borda na tentativa de identificar tráfego malicioso nas portas 143, 220, 465 e 587
>> Exemplo abaixo é de 30 conexões, altere o número para atender suas necessidades. Quando seu cliente atingir +de 30 conexões vai adicionar ele em uma lista chamada de spammer por 1 hora
add chain=forward action=add-src-to-address-list connection-limit=30,32 protocol=tcp address-list=spammer address-list-timeout=1h dst-port=143,220, 465,587 log=no log-prefix=""
>> Uma tratativa seria bloquear os ataques vindo destes clientes que constam nesta lista com tráfego malicioso.
add chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=143,220, 465,587 log=no log-prefix=""
Você ainda pode criar lista de exceções e por aí vai...depende de sua necessidade/criatividade.
Att.
Luiz Bauer Junior
-----Mensagem original-----
De: gter <gter-bounces at eng.registro.br> Em nome de Renan Menezes
Enviada em: segunda-feira, 8 de novembro de 2021 21:35
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Assunto: Re: [GTER] Ataques de e-mail - Envio de e-mails fraudulentos de dentro da rede.
Aparentemente segundo meus testes aqui estamos com problemas de equipamentos de clientes comprometidos, como disse anteriormente não temos clientes com servidores de e-mail.
Trocamos o link aqui e ainda sim estamos com muitas tentativas e os contadores do firewall estão bem alto.
Parece se tratar de bootnets, daí preciso de dicas de bloqueio para não deixar este tipo de problema ocorrer... cliente acaba sempre colocando roteadores com firmwares antigos e com senhas padrões(Triste realidade).
Em seg., 8 de nov. de 2021 às 18:43, Marcelo Balisteri <balisteri at gmail.com>
escreveu:
> Dmarc, sfp e dkim vão te ajudar.
>
>
>
> Em seg., 8 de nov. de 2021 16:55, Renan Menezes
> <renanitmanager at gmail.com>
> escreveu:
>
> > Boa tarde pessoal!
> >
> > Tenho uma rede aqui que está lotando de ataques vindo da Internet
> > para servidores de e-mail em clientes da minha rede.
> >
> > Multiplas origens, exemplos:
> > 200.147.99.132
> > 191.6.216.99
> > 172.217.192.109
> >
> > Na empresa em qual trabalho estamos com muitas tentativas de abuso
> > de servidores de e-mail que não possuímos na rede.
> >
> > Realizei o bloqueio das portas 25 e depois de recebermos que houve
> > origem de nossos IPs em e-mails fraudulentos bloqueamos as entradas
> > com destino
> a
> > nossos clientes nas porta 143, 220, 465 e 587.
> >
> > Aqui trabalhamos com Mikrotik, mas mesmo depois de ter bloqueado as
> portas
> > ainda sim estou sendo avisado de e-mails fraudulentos saindo de
> > minha
> rede.
> >
> > Gostaria de uma ajuda para tentar esclarecer proteções para impedir
> > tais problemas.
> >
> > Já implementamos as melhores práticas no sentido de antispoof, anti
> > spam
> e
> > proteções de portas que o usuários possam vir a esquecer e serem
> > usadas
> em
> > ataques de amplificação.
> >
> > Desde já muito obrigado!
> >
> > Atenciosamente
> > Renan I. A. de Menezes
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list