[GTER] Ataques de e-mail - Envio de e-mails fraudulentos de dentro da rede.

Fabio Martins fabiomartins at phosphorusnetworks.com
Tue Nov 9 21:28:11 -03 2021


Boa noite,

>> > Realizei o bloqueio das portas 25 e depois de recebermos que houve
>> > origem de nossos IPs em e-mails fraudulentos bloqueamos as entradas
>> > com destino
>> a
>> > nossos clientes nas porta 143, 220, 465 e 587.

Adicionar também 993 na blacklist.

Caso os clientes dos roteadores com firmware antigo e password fácil não 
necessitem de administração remota, boa idéia bloquear as portas pro IP 
público na borda. De dentro, ainda conseguem administrá-lo.

--


Fábío



On 2021-11-09 09:48, luiz at proserv.com.br wrote:
> Olá
> 
> Na minha opinião vc precisa inicialmente descobrir quais são seus
> clientes infectados com bootnets para assim iniciar uma tratativa.
> Com Mikrotik você pode criar uma regra na sua borda na tentativa de
> identificar tráfego malicioso nas portas 143, 220, 465 e 587
> 
>>> Exemplo abaixo é de 30 conexões, altere o número para atender suas 
>>> necessidades. Quando seu cliente atingir +de 30 conexões vai 
>>> adicionar ele em uma lista chamada de spammer por 1 hora
> 
> add chain=forward action=add-src-to-address-list
> connection-limit=30,32 protocol=tcp address-list=spammer
> address-list-timeout=1h dst-port=143,220, 465,587 log=no log-prefix=""
> 
>>> Uma tratativa seria bloquear os ataques vindo destes clientes que 
>>> constam nesta lista com tráfego malicioso.
> 
> add chain=forward action=drop protocol=tcp src-address-list=spammer
> dst-port=143,220, 465,587 log=no log-prefix=""
> 
> 
> Você ainda pode criar lista de exceções e por aí vai...depende de sua
> necessidade/criatividade.
> 
> Att.
> Luiz Bauer Junior
> 
> 
> 
> 
> 
> 
> -----Mensagem original-----
> De: gter <gter-bounces at eng.registro.br> Em nome de Renan Menezes
> Enviada em: segunda-feira, 8 de novembro de 2021 21:35
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes 
> <gter at eng.registro.br>
> Assunto: Re: [GTER] Ataques de e-mail - Envio de e-mails fraudulentos
> de dentro da rede.
> 
> Aparentemente segundo meus testes aqui estamos com problemas de
> equipamentos de clientes comprometidos, como disse anteriormente não
> temos clientes com servidores de e-mail.
> 
> Trocamos o link aqui e ainda sim estamos com muitas tentativas e os
> contadores do firewall estão bem alto.
> 
> Parece se tratar de bootnets, daí preciso de dicas de bloqueio para
> não deixar este tipo de problema ocorrer... cliente acaba sempre
> colocando roteadores com firmwares antigos e com senhas padrões(Triste
> realidade).
> 
> Em seg., 8 de nov. de 2021 às 18:43, Marcelo Balisteri 
> <balisteri at gmail.com>
> escreveu:
> 
>> Dmarc, sfp e dkim vão te ajudar.
>> 
>> 
>> 
>> Em seg., 8 de nov. de 2021 16:55, Renan Menezes
>> <renanitmanager at gmail.com>
>> escreveu:
>> 
>> > Boa tarde pessoal!
>> >
>> > Tenho uma rede aqui que está lotando de ataques vindo da Internet
>> > para servidores de e-mail em clientes da minha rede.
>> >
>> > Multiplas origens, exemplos:
>> >  200.147.99.132
>> >  191.6.216.99
>> >  172.217.192.109
>> >
>> > Na empresa em qual trabalho estamos com muitas tentativas de abuso
>> > de servidores de e-mail que não possuímos na rede.
>> >
>> > Realizei o bloqueio das portas 25 e depois de recebermos que houve
>> > origem de nossos IPs em e-mails fraudulentos bloqueamos as entradas
>> > com destino
>> a
>> > nossos clientes nas porta 143, 220, 465 e 587.
>> >
>> > Aqui trabalhamos com Mikrotik, mas mesmo depois de ter bloqueado as
>> portas
>> > ainda sim estou sendo avisado de e-mails fraudulentos saindo de
>> > minha
>> rede.
>> >
>> > Gostaria de uma ajuda para tentar esclarecer proteções para impedir
>> > tais problemas.
>> >
>> > Já implementamos as melhores práticas no sentido de antispoof, anti
>> > spam
>> e
>> > proteções de portas que o usuários possam vir a esquecer e serem
>> > usadas
>> em
>> > ataques de amplificação.
>> >
>> > Desde já muito obrigado!
>> >
>> > Atenciosamente
>> > Renan I. A. de Menezes
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list