¿Es un riesgo de seguridad, falta de conocimiento para una acción reactiva, cuando se rechaza el correo de abuso?

Navega tus respuestas
1

Al inspeccionar la configuración de DNS, por ejemplo, con dnsinspect.com , a veces aparece lo siguiente (nota que usé example.com ):

Acepta la dirección de abuso 

WARNING: Found mail servers which are not accepting emails to [email protected] address:

primary.mail.example.com 

>> MAIL FROM: <[email protected]>
<< 250 OK
>> RCPT TO: <[email protected]>
<< 550 5.1.1 User unknown

fallback.mail.example.com 

>> MAIL FROM: <[email protected]>
<< 250 OK
>> RCPT TO: <[email protected]>
<< 550 5.1.1 User unknown

Ahora pensé, si no puede recibir correos electrónicos de abuso, no podrá recibir notificaciones por parte de terceros (eventualmente de forma automática con servicios como fail2ban ) porque nunca recibirá esos correos electrónicos. De esta manera, si su servidor está infectado y, por ejemplo, está ocupado forzando brutalmente a un servidor inocente que está tratando desesperadamente de notificar al propietario del servidor infectado, el propietario del servidor infectado nunca recibirá una notificación.

¿Se considera esto un riesgo de seguridad en general, en términos de una discapacidad para detectar y reaccionar en tal caso?

En otras palabras, estoy buscando una manera de detectar el abuso de mis propios servidores, en caso de que uno esté comprometido. Entiendo que solo esperar hasta que otros servidores comiencen a enviar mensajes de abuso no será suficiente y es reactivo, mientras que usted prefiere un método proactivo. Pero seguramente ayudará en caso de que otras medidas (proactivas) como la detección de rootkits, etc. hayan fallado. Ahora, me pregunto si "no poder recibir esos correos electrónicos abusivos" en caso de un servidor comprometido es un riesgo (lea; posiblemente no detecte que su servidor está comprometido).

    
pregunta Bob Ortiz 28.06.2016 - 17:09
fuente

1 respuesta

1

Hay una serie de direcciones estándar alternativas que podrían funcionar. Por ejemplo, [email protected], [email protected], [email protected] (lista completa: enlace ).

Si eso no funciona, es posible que desee buscar un formulario de contrato en el sitio web alojado en el dominio, si hay alguno.

Si no puede acceder a ninguno de estos, puede hacer una consulta de WHOIS y enviar el correo electrónico de abuso a la dirección de correo electrónico del registrador del nombre de dominio. Incluso si el registrante utiliza el servicio de privacidad del dominio, el servicio de privacidad generalmente reenviará el correo electrónico al propietario real del dominio o tendrá otras formas de contactar al propietario real del dominio.

Si eso no funciona, es posible que desee probar la base de datos de direcciones de abuso de terceros como enlace y ver si tienen una dirección de abuso diferente en la lista allí.

Si eso no funciona, puede obtener la dirección IP del sistema abusivo y realizar una búsqueda inversa de la dirección IP para obtener el ISP para ese IP Addreas. Puede notificar la dirección de contacto de abuso del ISP en su lugar. Los ISP suelen ser más receptivos a este tipo de solicitudes que los propietarios de dominios individuales. La mayoría de los ISP no quieren abusadores en su red, tanto como usted no quiere que abusen de la suya. Los ISP de buena reputación generalmente intentan contactar al cliente, investigar el abuso y, si consideran que la queja tiene un caso y el abuso no cesa, pueden, a su discreción, cerrar o filtrar el acceso a Internet del cliente.

La falta de direcciones de [email protected] no significa necesariamente que no hay nada que puedas hacer contra los abusos. Hay una serie de alternativas que puedes seguir.

    
respondido por el Lie Ryan 29.06.2016 - 12:33
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo forzar una clave de recuperación de Bitlocker con fuerza bruta? ¿Qué significa cuando airodump-ng muestra 0 balizas?