Al inspeccionar la configuración de DNS, por ejemplo, con dnsinspect.com , a veces aparece lo siguiente (nota que usé example.com
):
Acepta la dirección de abuso
WARNING: Found mail servers which are not accepting emails to [email protected] address:
primary.mail.example.com
>> MAIL FROM: <[email protected]>
<< 250 OK
>> RCPT TO: <[email protected]>
<< 550 5.1.1 User unknown
fallback.mail.example.com
>> MAIL FROM: <[email protected]>
<< 250 OK
>> RCPT TO: <[email protected]>
<< 550 5.1.1 User unknown
Ahora pensé, si no puede recibir correos electrónicos de abuso, no podrá recibir notificaciones por parte de terceros (eventualmente de forma automática con servicios como fail2ban
) porque nunca recibirá esos correos electrónicos. De esta manera, si su servidor está infectado y, por ejemplo, está ocupado forzando brutalmente a un servidor inocente que está tratando desesperadamente de notificar al propietario del servidor infectado, el propietario del servidor infectado nunca recibirá una notificación.
¿Se considera esto un riesgo de seguridad en general, en términos de una discapacidad para detectar y reaccionar en tal caso?
En otras palabras, estoy buscando una manera de detectar el abuso de mis propios servidores, en caso de que uno esté comprometido. Entiendo que solo esperar hasta que otros servidores comiencen a enviar mensajes de abuso no será suficiente y es reactivo, mientras que usted prefiere un método proactivo. Pero seguramente ayudará en caso de que otras medidas (proactivas) como la detección de rootkits, etc. hayan fallado. Ahora, me pregunto si "no poder recibir esos correos electrónicos abusivos" en caso de un servidor comprometido es un riesgo (lea; posiblemente no detecte que su servidor está comprometido).