Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Attacco Spam

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
mugnone



Registrato: 05/10/10 15:35
Messaggi: 5

MessaggioInviato: Mar Mag 31, 2011 11:54 am    Oggetto: Attacco Spam Rispondi citando

Salve a tutti,
Ho un problema di questo tipo:
Zeroshell (b12) con funzionalità di Firewall, Trasparent Proxy, Capitve Portal, e regole per virtual server (Smtp, http).
Ora sulla porta smtp (25), da alcuni giorni, siamo sotto attacco spam. Il server di posta regge bene ma l'enorme traffico che passa attraverso Zeroshell blocca tutta la banda disponibile con la conseguente impossibilità di navigare dalla rete locale.
Qualcuno ha delle idee per tamponare o migliorare tale situazione? Ogni consiglio è bene accetto!!!

Grazieee
Massimo
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Mer Giu 01, 2011 10:51 am    Oggetto: Rispondi citando

Io proverei ad implementare qualche controllo tipo DNSBL o Helo Check sul server di posta, nel caso quest'ultimo fosse l'MX del tuo dominio di posta. Nel caso di dominio locale invece, proverei ad analizzare il traffico ricevuto sulla porta 25 tramite tcpdump su ZeroShell. Se riesci ad isolare gli IP degli attaccanti (di solito non sono molte le macchine che portano a termine l'attacco), ti basterà dropparli nella catena di forward del firewall di ZeroShell.

Ciao
Top
Profilo Invia messaggio privato
mugnone



Registrato: 05/10/10 15:35
Messaggi: 5

MessaggioInviato: Gio Giu 02, 2011 10:53 am    Oggetto: Rispondi citando

svenny ha scritto:
Io proverei ad implementare qualche controllo tipo DNSBL o Helo Check sul server di posta, nel caso quest'ultimo fosse l'MX del tuo dominio di posta. Nel caso di dominio locale invece, proverei ad analizzare il traffico ricevuto sulla porta 25 tramite tcpdump su ZeroShell. Se riesci ad isolare gli IP degli attaccanti (di solito non sono molte le macchine che portano a termine l'attacco), ti basterà dropparli nella catena di forward del firewall di ZeroShell.

Ciao


Grazie Fulvio per la tua pronta risposta ma, il problema è che l'attacco mi occupa troppa banda e anche se mettessi dei controlli in più sul server di posta (cosa che ne ha, perchè cmq lo spam viene bloccato dal server di posta) il traffico passerebbe lo stesso da zeroshell.
Mi ci vorrebbe qualcosa che blocca a monte (un MTA per es. su zeroshell) ho letto nel forumo che avevi intenzione di metterlo o che cmq è possibile installarlo a parte (postfix o altro) mi puoi dare qualche consiglio? o qualche dritta su come si installa?
grazieeee
Max
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Gio Giu 02, 2011 2:01 pm    Oggetto: Rispondi citando

Ciao

potresti fare una regola nel qos per la porta 25 in modo da ridurre la banda utilizzata da questo servizio.

Puoi anche usare il parametro --limit-burst nella regola del firewall.
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Ven Giu 03, 2011 12:17 am    Oggetto: Rispondi citando

Con i controlli che ti ho consigliato (DNSBL ed Helo Check) in teoria dovresti poter bloccare la maggior parte del traffico in entrata, in quanto i controlli vengono effettuati sull'envelope del messaggio (rifiutando il messaggio vero e proprio se il mittente non ha le carte in regola).

Comunque non sono Fulvio Very Happy

Ciao
Top
Profilo Invia messaggio privato
mugnone



Registrato: 05/10/10 15:35
Messaggi: 5

MessaggioInviato: Ven Giu 03, 2011 3:14 pm    Oggetto: Rispondi citando

Hai ragioneeee!!! Svenny scusaaa Wink
dunque torniamo a noi:
sul mio server di posta (Lotus Domino) ho impostato tutti i controlli possobili e così facendo ho verificato di essere sotto attaco di relaying ma a parte questo il traffico c'è lo stesso e mi satura tutta la banda.
Vorrei bloccare a monte l'attacco ma identificare gli ip è praticamente impossibile.
Cioè vorrei filtrare già su Zeroshell le richieste sulla porta 25 e l'unica idea che mi sta venendo in mente è installare un Postfix (cosa che non ho mai fatto su Zeroshell) in modo da filtrare già a quel livelo un pò di robaccia. Così facendo non andrebbe ad occuparmi banda all'interno della LAN.

Qualcuno sa come installare Postfix su Zeroshell?

grazie e aperto ad altri consigli
Max
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Ven Giu 03, 2011 9:08 pm    Oggetto: Rispondi citando

Il sistema da attuare è una sorta di impostazione che ho già implementato come controattacco ai dos ssh ecc .
Tramite ip tables dovresti creare catene nelle regole del tipo tutto il traffico sulla porta 25 jump chain protezione smtp...
ed usare regole per limitare connessioni con burst sulla porta 25
Parallel connections per IP ? Traffic per connection ? more ?
così ogni ip che supera un tot gli verrà ridotta la banda
oppure puoi fare il drop.
Dovrebbe funzionare .
Saluti Vito
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it