Bloquear envio externo - Ataque de Força Bruta

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

Bloquear envio externo - Ataque de Força Bruta

Ronaldo Araujo
Bom dia senhores ...

Desde o começo de maio, o meu servidor postfix está sofrendo ataque de força bruta ...

Instalei o fail2ban para ajudar a bloquear os IP's que estão tentando descobrir a senha de e-mail dos meus usuários.

Além disso, solicitei para que os usuários troquem as suas senhas e que coloquem senhas um pouco mais complexas.

Até estou tendo sucesso, contra as investidas, só que foi descoberto a senha de um usuário e foi feito o envio de spam por essa conta.

O que gostaria e ainda não consegui é bloquear o envio de e-mail pelo meu servidor quando a autenticação do usuário for feito de um servidor externo ou gostaria que a autenticação só fosse feita pela minha rede interna.

Alguém poderia me dar alguma dica ?

Abaixo o meu main.conf

alias_maps = ldap:vamldap
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
inet_interfaces = 192.168.99.23
inet_protocols = ipv4
local_transport = lmtp:192.168.98.20:7025
mailbox_size_limit = 0
mailbox_transport = lmtp:192.168.98.20:7025
message_size_limit = 20480000
mydestination =
myhostname = server.dominio.com.br
mynetworks = 192.168.98.20/32 192.168.97.6/32 192.168.97.7/32
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_bind_address = 192.168.99.23
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = XXX
smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unknown_client_hostname, reject_non_fqdn_hostname, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client pbl.spamhaus.org, reject_rbl_client dnsbl.njabl.org
smtpd_data_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unauth_pipelining, reject_multi_recipient_bounce
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_access regexp:/etc/postfix/proibidos
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes

Obrigado a todos

Ronaldo Araujo

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Bloquear envio externo - Ataque de Força Bruta

Victório "H. Felipe"
Em Seg, Mai 25, 2015 em 8:38 , Ronaldo Araujo <[hidden email]> escreveu:
Bom dia senhores ... Desde o começo de maio, o meu servidor postfix está sofrendo ataque de força bruta ... Instalei o fail2ban para ajudar a bloquear os IP's que estão tentando descobrir a senha de e-mail dos meus usuários. Além disso, solicitei para que os usuários troquem as suas senhas e que coloquem senhas um pouco mais complexas. Até estou tendo sucesso, contra as investidas, só que foi descoberto a senha de um usuário e foi feito o envio de spam por essa conta. O que gostaria e ainda não consegui é bloquear o envio de e-mail pelo meu servidor quando a autenticação do usuário for feito de um servidor externo ou gostaria que a autenticação só fosse feita pela minha rede interna. Alguém poderia me dar alguma dica ? Abaixo o meu main.conf alias_maps = <a href="ldap:vamldap">ldap:vamldap append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = 192.168.99.23 inet_protocols = ipv4 local_transport = lmtp:192.168.98.20:7025 mailbox_size_limit = 0 mailbox_transport = lmtp:192.168.98.20:7025 message_size_limit = 20480000 mydestination = myhostname = server.dominio.com.br mynetworks = 192.168.98.20/32 192.168.97.6/32 192.168.97.7/32 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_bind_address = 192.168.99.23 smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = XXX smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unknown_client_hostname, reject_non_fqdn_hostname, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client pbl.spamhaus.org, reject_rbl_client dnsbl.njabl.org smtpd_data_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unauth_pipelining, reject_multi_recipient_bounce smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = smtpd_sasl_path = smtpd smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_access regexp:/etc/postfix/proibidos smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes Obrigado a todos Ronaldo Araujo

O serviço de smtp com autenticação deve estar apenas na porta 587 e/ou 465, portanto você pode bloquear o acesso à elas no firewall.

att.

Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Bloquear envio externo - Ataque de Força Bruta

Rafael Turazzi
Uma solução rápida seria tirar o smtpd_sasl_auth_enable = yes e cadastrar sua LAN em mynetworks, assim sua LAN fará o envio e externamento não terá mais autenticação.


Em 25 de maio de 2015 10:26, Victório H. Felipe <[hidden email]> escreveu:
Em Seg, Mai 25, 2015 em 8:38 , Ronaldo Araujo <[hidden email]> escreveu:
Bom dia senhores ... Desde o começo de maio, o meu servidor postfix está sofrendo ataque de força bruta ... Instalei o fail2ban para ajudar a bloquear os IP's que estão tentando descobrir a senha de e-mail dos meus usuários. Além disso, solicitei para que os usuários troquem as suas senhas e que coloquem senhas um pouco mais complexas. Até estou tendo sucesso, contra as investidas, só que foi descoberto a senha de um usuário e foi feito o envio de spam por essa conta. O que gostaria e ainda não consegui é bloquear o envio de e-mail pelo meu servidor quando a autenticação do usuário for feito de um servidor externo ou gostaria que a autenticação só fosse feita pela minha rede interna. Alguém poderia me dar alguma dica ? Abaixo o meu main.conf alias_maps = ldap:vamldap append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = 192.168.99.23 inet_protocols = ipv4 local_transport = lmtp:192.168.98.20:7025 mailbox_size_limit = 0 mailbox_transport = lmtp:192.168.98.20:7025 message_size_limit = 20480000 mydestination = myhostname = server.dominio.com.br mynetworks = 192.168.98.20/32 192.168.97.6/32 192.168.97.7/32 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_bind_address = 192.168.99.23 smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = XXX smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unknown_client_hostname, reject_non_fqdn_hostname, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client pbl.spamhaus.org, reject_rbl_client dnsbl.njabl.org smtpd_data_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unauth_pipelining, reject_multi_recipient_bounce smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = smtpd_sasl_path = smtpd smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_access regexp:/etc/postfix/proibidos smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes Obrigado a todos Ronaldo Araujo

O serviço de smtp com autenticação deve estar apenas na porta 587 e/ou 465, portanto você pode bloquear o acesso à elas no firewall.

att.

Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




--
-----
Rafael Turazzi Moreira


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br