[GTER] Ataques de e-mail - Envio de e-mails fraudulentos de dentro da rede.
Fabio Martins
fabiomartins at phosphorusnetworks.com
Tue Nov 9 21:28:11 -03 2021
Boa noite,
>> > Realizei o bloqueio das portas 25 e depois de recebermos que houve
>> > origem de nossos IPs em e-mails fraudulentos bloqueamos as entradas
>> > com destino
>> a
>> > nossos clientes nas porta 143, 220, 465 e 587.
Adicionar também 993 na blacklist.
Caso os clientes dos roteadores com firmware antigo e password fácil não
necessitem de administração remota, boa idéia bloquear as portas pro IP
público na borda. De dentro, ainda conseguem administrá-lo.
--
Fábío
On 2021-11-09 09:48, luiz at proserv.com.br wrote:
> Olá
>
> Na minha opinião vc precisa inicialmente descobrir quais são seus
> clientes infectados com bootnets para assim iniciar uma tratativa.
> Com Mikrotik você pode criar uma regra na sua borda na tentativa de
> identificar tráfego malicioso nas portas 143, 220, 465 e 587
>
>>> Exemplo abaixo é de 30 conexões, altere o número para atender suas
>>> necessidades. Quando seu cliente atingir +de 30 conexões vai
>>> adicionar ele em uma lista chamada de spammer por 1 hora
>
> add chain=forward action=add-src-to-address-list
> connection-limit=30,32 protocol=tcp address-list=spammer
> address-list-timeout=1h dst-port=143,220, 465,587 log=no log-prefix=""
>
>>> Uma tratativa seria bloquear os ataques vindo destes clientes que
>>> constam nesta lista com tráfego malicioso.
>
> add chain=forward action=drop protocol=tcp src-address-list=spammer
> dst-port=143,220, 465,587 log=no log-prefix=""
>
>
> Você ainda pode criar lista de exceções e por aí vai...depende de sua
> necessidade/criatividade.
>
> Att.
> Luiz Bauer Junior
>
>
>
>
>
>
> -----Mensagem original-----
> De: gter <gter-bounces at eng.registro.br> Em nome de Renan Menezes
> Enviada em: segunda-feira, 8 de novembro de 2021 21:35
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Assunto: Re: [GTER] Ataques de e-mail - Envio de e-mails fraudulentos
> de dentro da rede.
>
> Aparentemente segundo meus testes aqui estamos com problemas de
> equipamentos de clientes comprometidos, como disse anteriormente não
> temos clientes com servidores de e-mail.
>
> Trocamos o link aqui e ainda sim estamos com muitas tentativas e os
> contadores do firewall estão bem alto.
>
> Parece se tratar de bootnets, daí preciso de dicas de bloqueio para
> não deixar este tipo de problema ocorrer... cliente acaba sempre
> colocando roteadores com firmwares antigos e com senhas padrões(Triste
> realidade).
>
> Em seg., 8 de nov. de 2021 às 18:43, Marcelo Balisteri
> <balisteri at gmail.com>
> escreveu:
>
>> Dmarc, sfp e dkim vão te ajudar.
>>
>>
>>
>> Em seg., 8 de nov. de 2021 16:55, Renan Menezes
>> <renanitmanager at gmail.com>
>> escreveu:
>>
>> > Boa tarde pessoal!
>> >
>> > Tenho uma rede aqui que está lotando de ataques vindo da Internet
>> > para servidores de e-mail em clientes da minha rede.
>> >
>> > Multiplas origens, exemplos:
>> > 200.147.99.132
>> > 191.6.216.99
>> > 172.217.192.109
>> >
>> > Na empresa em qual trabalho estamos com muitas tentativas de abuso
>> > de servidores de e-mail que não possuímos na rede.
>> >
>> > Realizei o bloqueio das portas 25 e depois de recebermos que houve
>> > origem de nossos IPs em e-mails fraudulentos bloqueamos as entradas
>> > com destino
>> a
>> > nossos clientes nas porta 143, 220, 465 e 587.
>> >
>> > Aqui trabalhamos com Mikrotik, mas mesmo depois de ter bloqueado as
>> portas
>> > ainda sim estou sendo avisado de e-mails fraudulentos saindo de
>> > minha
>> rede.
>> >
>> > Gostaria de uma ajuda para tentar esclarecer proteções para impedir
>> > tais problemas.
>> >
>> > Já implementamos as melhores práticas no sentido de antispoof, anti
>> > spam
>> e
>> > proteções de portas que o usuários possam vir a esquecer e serem
>> > usadas
>> em
>> > ataques de amplificação.
>> >
>> > Desde já muito obrigado!
>> >
>> > Atenciosamente
>> > Renan I. A. de Menezes
>> > --
>> > gter list https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list