¿Qué causaría un escaneo de puertos a un servidor de correo electrónico en una oficina?

Question

¿Qué causaría un escaneo de puertos a un servidor de correo electrónico en una oficina?

#1 de gowenfawr (4 votos)

0

Suministro de cuentas de correo electrónico a los clientes. Ocasionalmente, algunos clientes son bloqueados por nuestro firewall (CSF) si obtienen nombres de usuario o contraseñas incorrectas. Pero a veces se bloquean porque su dirección IP determina que se está escaneando el puerto del servidor de correo. El mensaje de registro sería:

Temporary Blocks: IP:123.123.123.123 Port: Dir:in TTL:3600 (lfd - *Port Scan* detected from 123.123.123.123 (GB/United Kingdom/-). 21 hits in the last 261 seconds)

Debido a que no son hackers, solo una oficina de negocios normal, una posibilidad es que una computadora tenga un virus y esté tratando de conectarse al servidor de correo, tal vez obtuvo la configuración del servidor de correo de Apple Mail. Pero dudo que este sea el caso.

¿Alguien sabe qué otro software podría estar realizando escaneos de puertos en el servidor de correo de Apple Mail? Apple Mail en sí? Tendríamos que detener estos "escaneos".

Editar : acabo de descubrir todos sus Mac y Apple Mail en la oficina, no Outlook. Y tienen un cuadro temporal de EE (proveedor de servicios móviles) para conectarse a Internet porque BT está demorando en ordenar su Internet. Han actualizado la pregunta anterior.

Editar : el cliente se estaba conectando al puerto 585 con mucha frecuencia y estaba siendo bloqueado. Este puerto no está abierto en nuestro firewall. Pero parece que el puerto 585 es de hecho un puerto IMAP, y varios sitios web del estado de Apple Mail lo usan. Así que he tenido que abrir este puerto debido a que Apple Mail lo usa.

Editar : vea la respuesta aceptada, pero en lugar de abrir el puerto, lo agregué a DROP_NOLOG en la configuración de CSF. La respuesta aceptada muestra cómo hacerlo usando el comando iptables si no está utilizando CSF.

ports

pregunta Laurence Cope 07.07.2017 - 13:35

fuente

1 respuesta

Lea otras preguntas en las etiquetas ports

¿Por qué este certificado no es seguro? Es captcha lo único que impide la creación sin fin de cuentas

score 4 · Accepted Answer

El mensaje de registro de CSF que proporcionó indica que encontró "21 aciertos en los últimos 261 segundos". Entonces la pregunta es, ¿qué estaba golpeando? El archivo de configuración CSF describe su detector de escaneo de puertos de la siguiente manera:

###############################################################################
# SECTION:Port Scan Tracking
###############################################################################
# Port Scan Tracking. This feature tracks port blocks logged by iptables to
# syslog. If an IP address generates a port block that is logged more than
# PS_LIMIT within PS_INTERVAL seconds, the IP address will be blocked.
...
# This feature blocks all iptables blocks from the iptables logs, including
# repeated attempts to one port or SYN flood blocks, etc

Por lo tanto, su configuración de iptables está bloqueando las conexiones individuales de sus clientes, y CSF observa los registros de iptables y reacciona cuando ve demasiadas entradas de registros de bloque individuales. Ya que está utilizando los registros de su iptables como su punto de datos sin procesar, los mismos datos sin procesar deben estar allí para que los revise.

Por lo tanto, lo que debe hacer es revisar los registros de iptables para el período de tiempo en cuestión y ver qué puerto estaban alcanzando para el bloqueo. Si fue 465 / tcp o 587 / tcp, por ejemplo, eso podría indicar que su cliente de correo está probando puertos alternativos seguros primero antes de ir a 25 / tcp para SMTP. Eso implica un tipo de falso positivo legítimo, y puede compensarlo configurando iptables para bloquear sin iniciar sesión en esos dos puertos.

Si, por otro lado, están probando una amplia gama de puertos que no están relacionados con el correo, (21 / tcp, 22 / tcp, 23 / tcp, 139 / tcp, 161 / udp, 445 / tcp , ...) entonces alguien o algo allí es verdaderamente escanearte.

Según el comentario a continuación, sus registros indican que las conexiones en el puerto 585 están activando los bloques. El puerto 585 / tcp está asociado con los clientes de correo electrónico de Apple. Podría pedirle al usuario que corrija su cliente de correo electrónico, pero como es un cliente de Apple, todas las menciones en línea de esto dicen que es difícil averiguar cómo hacerlo. Por lo tanto, puede ajustar sus reglas de firewall para no registrar este tráfico. Si observa su cadena de ENTRADAS de IPtables, verá que las dos últimas líneas son probablemente LOG y DROP:

# iptables -L INPUT -n --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
...
20   LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
21   DROP       all  --  0.0.0.0/0            0.0.0.0/0

Luego puede INSERTAR una nueva regla específica DROP en la ubicación de la regla actual de REGISTRO:

# iptables -I INPUT 20 -p tcp --dport 585 -j DROP
# iptables -L -n --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
...
20   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:585
21   LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
22   DROP       all  --  0.0.0.0/0            0.0.0.0/0

y ahora las conexiones del puerto 585 DROP antes se registrarán, y su herramienta CSF ya no reaccionará a estos intentos de conexión (¡pero aún estarán bloqueadas!).