[MASOCH-L] RES: Firewall Iptables

Pousada Virtual - André Marcelo atendimento at pousadavirtual.com.br
Fri Jan 27 12:29:57 BRST 2006 

Olá Anderson,

Estou usando o BFD + APF (http://www.rfxnetworks.com/proj.php). O APF é um
script para o iptables e o BDF trabalha em conjunto com o APF analisando
seus logs a cada x minutos e bloqueando os ips que atendem as regras que
você especificar na configuração. Você pode configurar por exemplo para
analisar os logs do seu servidor de e-mail, e achando x vezes por minuto o
subject "DELIVERY FAILURE" ele automaticamente bloqueia o ip pelo iptables.

Pela mensagem que você colocou, você deve considerar também a possibilidade
de alguém estar explorando a vulnerabilidade de algum formulário em php que
sua página possa ter para envio de SPAM através do BCC. Uma solução simples
para esse problema é a instalação do ModSecurity
(http://www.modsecurity.org/) com a seguinte regra: 

SecFilterSelective THE_REQUEST "bcc:|Bcc:|BCc:|BCC:|bCc:|bCC:|bcC:|BcC:"

Bloquear ips internacionais só irá lhe causar dor de cabeça, pois muitos
provedores, entre eles gmail, hotmail, e milhares de empresas que hospedam
seus domínios lá fora (como a minha) não poderão mais se comunicar com você
por e-mail. Dê uma olhada em
http://www.dnsstuff.com/tools/ip4r.ch?ip=200.196.233.37  seu mail server já
está blacklisted em duas listas, muito provavelmente me função dessas
conexões que você vem tendo.

Espero ter ajudado.

Abraços,

André Marcelo



-----Mensagem original-----
De: masoch-l-bounces at eng.registro.br
[mailto:masoch-l-bounces at eng.registro.br] Em nome de MARLON BORBA
Enviada em: sexta-feira, 27 de janeiro de 2006 12:03
Para: masoch-l at eng.registro.br; anderson at webcom.inf.br
Assunto: Re: [MASOCH-L] Firewall Iptables

já pensou em usar spf?
eliminaria boa fração desse lixo.



Abraços,
Marlon Borba, CISSP.
--
Se você acha que a criptografia pode resolver
todos os seus problemas de segurança,
então você não conhece os seus problemas
e nem a criptografia.
(Bruce Schneier)
--

>>> anderson at webcom.inf.br 27/1/2006 11:54 >>>
Salve,

Estou nos últimos meses, percebendo que meu servidor de e-mail esta
recebendo muitas conexões na porta 25 de ips internacionais...

Automaticamente meu QUEUE fica sempre cheio, e quase todos os dias eu faço
uma limpeza nele com mais de 300 mensagens paradas, com subject: DELIVERY
FAILURE.

Alguém teria alguma dica para barrar essas conexões no meu servidor?
Utilizar de uma regra no Iptables para bloquear ips internacionais,
momentaneamente seria uma solução interessante?

Utilizo do Linux Slackware 10, com
Qmail+vpopmail+spamassassin+qtrap+um_monte_de_coisas...

Abraços,
Anderson
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list