Forums:
cuando haces nat, para que tus usuarios de la red interna salgan a internet y el nat no bloquea el puerto 25 saliente, cómo es que se da el proceso de que las pc que están contaminadas con virus empiencen a enviar mails spam y virus?
Hay alguna herramienta en especial que me diagnostique que en las pc hay virus u otras cosas que están causando que las pc envíen mails directamente desde ellas?
Pueden explicarme esto.
Gracias
Usas iptables?, cómo sabemos
Usas iptables?, cómo sabemos que el nat no se efectúa sobre el puerto 25/tcp?, lo mejor sería bloquearlo en el forward,
iptables -t filter -A FORWARD -p tcp --dport 25 -j DROP
Si realmente no haces nat al puerto 25 podría otro equipo en un nivel superior estarlo haciendo, aunque para que sea posible deben haber rutas bien definidas.
------------
Cogito Ergo Sum
Hay muchas formas de detectar maquinas infectadas que usan
El puerto 25 tcp, primero para detener eso es bloquear el puerto 25 a todos los equipos en tu red, solo si tienes un servidor de correos bien configurado debe estar excluido de esa regla ya que seria afectado tambien,
Segundo una vez bloqueado el puerto si tienes usuarios con windows pues es duro el trabajo ya que debes adquirir antivirus para todas si no sera dificil controlar infecciones futuras aunque con la primer opcion ya controlas el problema de spam.
Usar un analizador de trafico como iptraf, wireshark, y herramientas que vienen incluidas en los SO como netstat,
Espero que esto te de una idea de como atacar el problema.
Saludos
Si tengo un servidor de
Si tengo un servidor de correo interno. Este viernes por la madrugada se realizó un envío masio de spam desde una cuenta interna, al parecer esta fue hackeada de alguna manera capturaron la clave y el usuario de este empleado y desde ahi empezaron a mandar spam provocando que nos listaran como servidor spam aun estamos en una black list en uceprotect.
En los block anteriores lei que desde las pc infectadas se podian enviar correos spam, por eso era la consulta de como se lograba hacer eso.
Gracias
iamlpreciosa
Seguridad es lo principal.
Para evitar ser atacado desde adentro o afuera es vital tener bien configurado tu servidor, primero no ser open relay desde lan e internet, segundo manejar cuentas con claves bien elavoradas, hacer un rate control desde tu lan manejar sistemas anti spam y un firewall bien elavorado. Eso es lo principal para la salud de un servidor y evitar caer en blacklist.
Saludos a todos mis amigos de ecualug me habia ausentado del sitio ecualug que bello es ver que este foro sigue creciendo.
Desde Managua,Nicaragua un gran abrazo.
Pd. Deberian habilitar alguna funcion para ver colegas de paises quisiera saber cuantas personas pertenecen a nicaragua.
Hola juandarcy,
Hola juandarcy,
Nosotros usamos claves seguras mínimo 10 caracteres entre ellos se deben combinar números, símbolos, mayúsculas, minúsculas. Trabajamos con anti spam y firewall.
No entiendo la parte de hacer rate control desde la lan. Cómo se hace esto. Y cómo puedo evitar ser open relay desde lan e internet, puedes explicar un poco al respecto, más la parte de open relay desde lan.
Saludos
iamlpreciosa
Un poco de lectura
Tan facil como poner open relay en google
http://es.m.wikipedia.org/wiki/Open_Relay
Bueno con la informacion que nos brindas es dificil ayudar, primero que tipo de MTA usas tus MUA son software o web asi como un servidor de correo hay miles sendmail postfix etc mas info mejor ayuda ademas que dicen los logs como determina que fue robo de claves si tus claves tienen 10 caracteres eso no me indica que sean seguras logs muestra los logs para saber como determinastes que te hackearon.
lo primero bloquear el pto 25
lo primero bloquear el pto 25 dentro de la lan.....