Scribd Logo
Importer

Bienvenue sur Scribd !

  • Ataques SMTP

    Transféré par

    polizei1564
    57 vues50 pages
    Material onde informa processos de ataque via SMTP. Este material instruie formas de evitar este tipo de ataques, e se previnir.

    Titre original

    Ataques Smtp

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    Material onde informa processos de ataque via SMTP. Este material instruie formas de evitar este tipo de ataques, e se previnir.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    57 vues50 pages

    Ataques SMTP

    Transféré par

    polizei1564
    Material onde informa processos de ataque via SMTP. Este material instruie formas de evitar este tipo de ataques, e se previnir.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 50

    InstitutodeComputaoUnicamp

    AtaquescontraoSMTP
    Comoasbotnetsenviamspam
    MiguelDiCiurcioFilho
    AdministraodeSistemas
    miguel@ic.unicamp.br

    EmailnoIC
    Recebehmuitosanosusuriostinham
    acessoaomboxviaNFS.
    importantssimoparaasatividadesde
    professoresealunos(2400usurios).
    Qualquerproblemanotadorapidamente.

    EmailnoIC
    CentOS
    Postfix
    Dovecot
    Amavis
    Squirrelmail

    SMTP
    oprotocolo,notemosoutro.Pacincia.
    Modelospullnosoescalveis.Desista.
    Existeh27anosecontinuaemuso.
    Talvezsejatardedemaisparamudar.

    Pseudofederao

    Pseudofederao
    Redesestveis.
    Facilmenteidentificveis.
    Altaconcentraodeusurios.

    Pseudofederao

    Pseudofederao
    Usuriossubmetemmensagensnoprovedor.
    Provedorespodemidentificarfacilmenteabuso.
    UsuriosnoacessamdiretamenteoMXdos
    destinatrios.
    Gernciadaporta25j!

    Porm...

    Botnet
    Conjuntodecomputadorescontroladosporum
    terceiroremotamente.
    Cadacomputadorchamadodezumbi.
    Osoftwaremaliciosofazdetudoparanoser
    detectado.
    Oszumbissoutilizadosparavrios
    propsitos,entreelesenviarspam.

    Pseudofederao

    Ento,comoevitaroszumbis?

    Comoevitaroszumbis?
    RFCssofundamentais.
    ServidoresdafederaoseguemasRFCs,
    zumbisno.
    Zumbisexploramalgunsequvocosdo
    protocolo.

    ObomevelhoSMTP...

    $dig+shorttmxgmail.com
    5gmailsmtpin.l.google.com.
    10alt1.gmailsmtpin.l.google.com.
    20alt2.gmailsmtpin.l.google.com.
    30alt3.gmailsmtpin.l.google.com.
    40alt4.gmailsmtpin.l.google.com.

    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    2502.1.0Ok
    DATA
    354Enddatawith<CR><LF>.<CR><LF>
    Subject:Teste
    From:Miguel<miguel@ic.unicamp.br>
    Esseocorpo.
    .
    2502.0.0Ok:queuedasD3F99100A4

    Zumbisnosoeducados.

    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    2502.1.0Ok
    DATA
    354Enddatawith<CR><LF>.<CR><LF>
    Subject:Teste
    From:Miguel<miguel@ic.unicamp.br>
    Esseocorpo.
    .
    2502.0.0Ok:queuedasD3F99100A4

    HELO/EHLO
    AclientSMTPSHOULDstartanSMTP
    sessionbyissuingtheEHLOcommand.
    Theargumentclausecontainsthefully
    qualifieddomainnameoftheSMTPclient

    HELO/EHLO
    AclientSMTPSHOULDstartanSMTP
    sessionbyissuingtheEHLOcommand.
    Theargumentclausecontainsthefully
    qualifieddomainnameoftheSMTPclient

    HELO/EHLO
    ZumbisnofornecemumFQDN

    pecezao

    xyzjufhhjtyf

    Utilizereject_non_fqdn_helo_hostname

    Zumbisnodizemoldeverdade.

    HELO/EHLO
    FQDNsvlidoseinvlidos:

    localhost

    Seuprprionome

    RFCnodessadica.

    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    localhost
    gmailsmtpin.l.google.com
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    2502.1.0Ok
    DATA
    354Enddatawith<CR><LF>.<CR><LF>
    Subject:Teste
    From:Miguel<miguel@ic.unicamp.br>
    Esseocorpo.
    .
    2502.0.0Ok:queuedasD3F99100A4

    HELO/EHLO
    check_helo_accessregexp:/etc/postfix/helo
    checks.regexp
    /^mx\.dominio\.br$/REJECTYouarenotme
    /localhost/REJECTNo,youarenotlocalhost

    Zumbisdizemolcomumsorriso
    amarelo.

    HELO/EHLO

    InsituationsinwhichtheSMTPclientsystem
    doesnothaveameaningfuldomainname(e.g.,
    whenitsaddressisdynamicallyallocatedandno
    reversemappingrecordisavailable),theclient
    SHOULDsendanaddressliteral...

    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    [143.106.7.43]
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    2502.1.0Ok
    DATA
    354Enddatawith<CR><LF>.<CR><LF>
    Subject:Teste
    From:Miguel<miguel@ic.unicamp.br>
    Esseocorpo.
    .
    2502.0.0Ok:queuedasD3F99100A4

    HELO/EHLO
    IPliteralnoutilizadonafederao
    ZumbisqueusamIPliteral
    seguronegaressescasos

    HELO/EHLO
    check_helo_accessregexp:/etc/postfix/helo
    checks.regexp
    /^\[[[:digit:]\.]*\]$/REJECTLocalpolicyprohibits
    addressliteralsinhelo
    /^[[:digit:]\.]*$/REJECTLocalpolicyprohibitsIP
    addressinhelo

    Zumbisnotemreverso.

    Reverso
    RFC1912:CommonDNSOperationaland
    ConfigurationErrors
    MakesureyourPTRandArecordsmatch.
    ForeveryIPaddress,thereshouldbea
    matchingPTRrecordintheinaddr.arpa
    domain.
    Utilizereject_unknown_client_hostname

    Zumbistemmuitapressa.

    Limitaodevelocidade
    Zumbisabremconexesloucamente

    Mantmmuitasconexessimultneas

    Abremnovasconexesrapidamente

    Tentamentregarparamuitosremetentes

    Nodeixeseuservidorsemlimites

    Limitaodevelocidade
    smtpd_client_connection_rate_limit=15
    smtpd_client_connection_count_limit=10
    smtpd_client_message_rate_limit=25

    Zumbisnoreconhecemquando
    erram.

    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    4504.7.1Greylisting,comebacklatter
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING

    Errossoignorados
    Zumbisignoramerros

    Servidoresaceitamcomandosapserro(RFC
    autoriza)
    Controlesdevelocidadepodemserirrelevantes

    Zumbisdevemsofrerseerrarem
    smtpd_hard_error_limit=3
    smtpd_soft_error_limit=1
    smtpd_error_sleep_time=20s

    Zumbissofracos.Elesdoreboot.

    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    4504.7.1Greylisting,comebacklatter
    RSET
    2502.0.0Ok

    RSET

    Thiscommandspecifiesthatthecurrentmail
    transactionwillbeaborted.Anystoredsender,
    recipients,andmaildataMUSTbediscarded,and
    allbuffersandstatetablescleared.

    RSET
    smtpd_junk_command_limit=1
    smtpd_error_sleep_time=20s
    Colocaroszumbisparadormirmuito
    eficiente

    ZumbisestonaSpamHaus.

    Maistcnicasantispam
    VerificarsedomnioremetentetemMX

    IPpblico

    Potencialparafalsospositivos:

    VerificarseFQDNnoEHLO/HELOexiste
    VerificarseFQDNdoEHLO/HELOomesmodo
    clienteseconectando

    Eficinciaemnmeros
    3%

    4%

    3% 1% 2%
    10%

    Usurionoexiste
    Remetenteinvlido
    Domniodoremeten
    tenoexiste

    10%

    HeloIPliteral

    14%

    Heloinvlido
    Reversoinvlido
    SpamHaus
    Greylisting
    Outros

    52%

    Maisnmeros
    ~220000mensagensrecusadas
    ~6300desconexesdepoisdeumRSETe
    outras~6000timeoutsvariadoseconexes
    ignoradasporratelimiting
    ~23000chegaramaoAmavis

    1425eramspam

    93%delixo

    Sejaumbomcidado
    Faaseuservidorentregarmensagenscom
    calma

    smtp_destination_concurrency_limit=5

    smtp_destination_recipient_limit=10

    Obrigado!
    http://www.ic.unicamp.br/~miguel

    Vous aimerez peut-être aussi