¿Cómo puedo evitar que una IP intente usar mi servidor de correo?

2

Recientemente configuré mi primer servidor de correo electrónico, y miro los registros en /var/logs/mail.log para ver qué está sucediendo. Noté que esta IP lo hace varias veces todos los días durante las últimas semanas:

May 15 19:44:36 rpi postfix/smtpd[14538]: NOQUEUE: reject: RCPT from unknown[91.236.75.224]: 504 5.5.2 <#MYIP#>: Helo command
rejected: need fully-qualified hostname; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<#MYIP#>

May 17 16:01:48 rpi postfix/smtpd[16889]: NOQUEUE: reject: RCPT from unknown[91.236.75.224]: 504 5.5.2 <#MYIP#>: Helo command
rejected: need fully-qualified hostname; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<#MYIP#>

May 19 13:41:38 rpi postfix/smtpd[19313]: NOQUEUE: reject: RCPT from unknown[91.236.75.224]: 504 5.5.2 <#MYIP#>: Helo command
rejected: need fully-qualified hostname; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<#MYIP#>

Siempre es así. Mis preguntas son:

  1. ¿Es esto una amenaza?
  2. ¿Cómo puedo detener a esta persona?
  3. Si no puedo DETENER a esta persona, ¿hay algún tipo de queja que pueda presentar en línea?

Pido disculpas si este no es el lugar adecuado para hacer esa pregunta. Si ese es el caso, indíqueme el foro correspondiente.

    
pregunta sprocket12 20.05.2015 - 11:29
fuente

4 respuestas

2

Con respecto a la seguridad, generalmente estos intentos de conexión solo se realizan mediante robots de correo no deseado automatizados que operan desde una PC contaminada con malware. En todo caso, parece que el servidor ha rechazado estas solicitudes correctamente.

Le recomiendo que revise las medidas de protección contra SPAM para proteger su servidor de correo, y en particular le recomiendo que configure un cheque hacia la base de datos SpamHaus .

En particular, SpamHaus le ofrece dos sistemas interesantes:

  • La Lista de bloqueo de SpamHaus (SBL) es una lista descargable de rangos de IP que se sabe que son propiedad de organizaciones ilegales o que no son utilizadas por su propietario y, por lo tanto, pueden usarse con fines ilegítimos. Esta lista se utilizará en su nivel de firewall para eliminar directamente el tráfico correspondiente sin importar el protocolo, ya que lo más probable es que sea tráfico ilegítimo. La IP que menciona en su pregunta está marcada por esta lista .

  • SpamHaus también ofrece listas dedicadas a servidores de correo que su servidor de correo puede consultar en cada solicitud con el fin de proporcionar un filtrado más detallado. Estas listas no se corresponden necesariamente con el tráfico ilegítimo, por ejemplo, los rangos de IP asociados a los accesos a Internet de los usuarios finales se encuentran en la lista (por lo general, esto corresponde al spam de malware, pero también puede indicar que alguien haya creado un servidor de correo electrónico genuino en casa). requiere un poco de ajuste para determinar qué lista necesita y cómo desea que su servidor reaccione exactamente.

Recomiendo encarecidamente que al menos configure su servidor para usar la lista SBL para bloquear el tráfico relacionado con la IP que contiene, y automatizar una actualización diaria de esta lista.

    
respondido por el WhiteWinterWolf 20.05.2015 - 12:04
fuente
1
  • ¿Es esto una amenaza?

No. Su servidor rechaza correctamente los correos electrónicos antes de que lleguen a su servidor (el spammer solo lo recibió), por lo que solo se utilizan recursos mínimos y puede ignorarlo.

  • ¿Cómo puedo detener a esta persona?

Bloqueando dichos intentos si lo hacen con demasiada frecuencia, por ejemplo. utilizando fail2ban , que puede instalar a través de la administración de paquetes. Se utiliza en la mayoría de los sistemas de servidor para detener tales ataques. Puede usar esta regla para este caso:

 failregex = reject: RCPT from (.*)\[<HOST>\]: 504 5.5.2

También puede agregar más códigos de error. También vea esta respuesta en Serverfault: Ataque del servidor de correo electrónico desde telnet

  • Si no puedo DETENER a esta persona, ¿hay algún tipo de queja que pueda presentar en línea?

Siempre encontrará direcciones de correo de abuso en el whois para la IP, en su caso es [email protected] . Pero esto no es muy efectivo en la mayoría de los casos, así que recomiendo usar fail2ban e ignorar.

    
respondido por el sebix 20.05.2015 - 17:51
fuente
0

Probablemente es una máquina que intenta usar su servidor de correo para enviar correo no deseado. Para responder a sus preguntas:

  1. El riesgo para usted aquí es que, si tiene éxito, su servidor de correo se incluirá en la lista negra como Open Relay.

  2. Usted debe configurar su servidor de correo para que acepte las conexiones en el puerto 25 solo desde los hosts a los que desea poder enviar correo. Como protección adicional, también puede configurar su firewall de una manera similar.

  3. En teoría, podría intentar rastrear esta IP hasta su ISP y presentar una queja a este último, pero es una pérdida de tiempo.

respondido por el dr01 20.05.2015 - 11:49
fuente
0

Estos registros muestran que este remitente está intentando retransmitir el correo a través de su servidor de correo. Pero, afortunadamente, su servidor de correo no está configurado para permitir la retransmisión abierta, por lo que se evita que estos intentos tengan éxito.

Si este servidor de correo solo se usa para enviar correo saliente y no se usa para recibir correo entrante, es posible que desee configurar su firewall para bloquear todas las conexiones entrantes en el puerto 25, excepto para los hosts que está específicamente permitiendo el envío a través de este servidor, y eso evitará que estos intentos lleguen a su servidor de correo.

    
respondido por el mti2935 20.05.2015 - 11:50
fuente

Lea otras preguntas en las etiquetas