Cuenta de correo electrónico 'hackeada'; ¿Necesito regenerar el DKIM _domainkey de mi servidor?

2

Solo estoy aprendiendo sobre DMARC (DKIM / SPF), así que me disculpo si mi pregunta no tiene sentido.

Unos días después de instalar una política DMARC en mi servidor, noté que los informes de yahoo.com contenían miles de envíos "validados" desde la IP de mi servidor de correo. También recibí un correo electrónico de mi host de VPS diciendo que una de las cuentas de correo electrónico estaba comprometida. Restablecí la contraseña de esa cuenta de correo electrónico, pero un día después recibí otro informe de yahoo.com que aún muestra que se enviaron mil correos electrónicos válidos.

La pregunta que tengo es ... ¿necesito volver a generar una nueva _domainkey en mi servidor una vez que haya resuelto los problemas con la cuenta 'hackeada'?

    
pregunta JakeTheSnake 17.09.2014 - 01:47
fuente

3 respuestas

0

Una cuenta de correo electrónico pirateada no implica automáticamente que su servidor de correo haya sido comprometido (de hecho, estadísticamente no lo hace).

A menos que las cuentas de correo utilicen credenciales que se reutilicen como una cuenta real en el sistema, la integridad de su servidor no estará comprometida a priori.

Si desea una analogía, esto es como preguntarle si necesita cambiar las cerraduras de las puertas de su casa después de que alguien le robó el auto: a menos que dejara las llaves de su casa en el auto, no tiene que hacerlo.

Sin embargo, es posible que desee hacer un examen de los registros de su servidor para ver cómo se comprometió esa cuenta y verificar la integridad de su sistema, en caso de que el atacante haya llegado más lejos de lo que pensaba.

    
respondido por el Stephane 17.09.2014 - 09:17
fuente
1

Para la posteridad agregaré mi propia respuesta para ilustrar el procedimiento que pasé.

Paso 1) Descubre qué cuentas están enviando spam

  • Inicie sesión en WHM y vaya a "Mail Queue Manager". Realice búsquedas y vea los correos electrónicos para ver qué cuentas son responsables. Si por alguna razón no tiene acceso a WHM, hable con su proveedor de alojamiento web para obtener esta información.

Paso 2) Cambiar contraseñas

  • Inicie sesión en cPanel y cambie las credenciales de inicio de sesión para las cuentas afectadas. Los afectados deben recibir una notificación por teléfono o personalmente de sus nuevas contraseñas.

Paso 3) Eliminar los mensajes de spam atrasados que aún no se han enviado

  • Inicialmente, acababa de cambiar las contraseñas del correo electrónico, pero seguía recibiendo notificaciones de entregas fallidas, por lo que pensé que "algo todavía estaba enviando correos electrónicos". Resulta que había un retraso desde hacía cuatro días con mensajes de spam que aún no se habían enviado. Vuelva al Administrador de colas de correo y elimine los mensajes de spam.

Paso 4) Ejecute análisis antivirus / antimalware

  • Ejecute en todos los puntos de entrada potenciales ... las PC de los usuarios y el propio servidor de correo.
  • Para el servidor de correo, estoy en CentOS para poder instalar maldetect .
  • Para PC / estaciones de trabajo personales, si encuentra keyloggers, asegúrese de cambiar la contraseña de la cuenta de correo electrónico nuevamente después de eliminar el registrador.

Paso 5) Vigile la cola de correo

  • Dado que el correo no deseado se generó en grandes cantidades, observe la cola de correo para ver si todavía se generan muchos correos electrónicos (esto puede ser difícil si tiene muchos usuarios).

Apreciaría cualquier consejo adicional que pueda haber pasado por alto.

    
respondido por el JakeTheSnake 18.09.2014 - 16:58
fuente
-1

Sí, debe volver a generar su par de llaves DKIM ya que puede haber sido comprometido. Un ataque es capaz de falsificar con éxito los correos de su host. También es posible que desee configurar SPF si el ataque está enviando correos desde un host que no le pertenece.

    
respondido por el kpcyrd 17.09.2014 - 02:08
fuente

Lea otras preguntas en las etiquetas