Re: [ml] Mail dictionary attack

On Feb 12, 2007, at 11:09 AM, Domenico Viggiani wrote:

> Ciao a tutti,
> ho notato che sul mio relay (sendmail) esterno passano centinaia di  
> mail
> indirizzate ad utenti inesistenti.

se ti consola è successo per diverso tempo da un paio di miei cienti,  
dove i tentativi erano nell'ordine di 1 al secondo circa...

> Sul relay, non effettuo alcuna verifica
> sull'indirizzo di destinazione e mi limito ad inoltrare tutti i  
> messaggi al
> server Exchange interno, a cui tocca l'onere di rimbalzare tutti i  
> messaggi
> indirizzati ad utenti inesistenti (i quali, a loro volta, torneranno
> indietro perché i mittenti dello spam non esistono quasi mai).

uh :( molto male ... come già fatto notare ti tocca gestire un sacco  
di traffico inutile oltre all'annoiare un sacco di "utenti  
innocenti" (ne esistono? grin)

> Questioni:
> 1) vorrei verificare l'indirizzo di destinazione sul relay esterno, in
> maniera da fermare la spazzatura al bordo e liberare Exchange da  
> questo
> carico inutile

di certo la scelta migliore. la stessa che adotto io :) non saprei  
come fare con sendmail, ma google sono certo che ti fornirà i coretti  
esempi :)

> 2) è giusto fare bounce dei messaggi destinati ad utenti inesistenti,
> generando un sacco di traffico inutile? Secondo RFC si ma qualcuno  
> mi dice
> di dropparli!

io di solito tendo ad ascoltare le rfc e non gli amici :)
se rifiuti le mail destinate ad utenti inesistenti prima di  
accettarle, demandi il bounce al server mittente. tu non ti  
sovraccarichi di lavoro, lo spam-server spesso non "bouncia" mentre i  
server veri di qualcuno che erroneamente ha scritto un indirizzo  
errato generano il corretto avvertimento.

> Per quanto riguarda il punto 1), stavo provando a verificare gli  
> indirizzi
> via LDAP, prima del relay, ma ho dei problemi con gli account locali.
> Ho visto anche http://www.snertsoft.com/sendmail/milter-ahead/ ma è a
> pagamento.

anche io avevo pensato ad ldap, ma sotto forti pressioni non mi va di  
generare tante query (carico per il relay, il server ldap e traffico  
di rete) e poi devo tenere presente la cache, etc etc etc.

personalmente ho adottato una politica nei casi "pesanti" per cui il  
server di posta/il directory server esporta un file di testo con  
l'elenco degli utenti, lo spara sul server di relay che ad orari  
prestabiliti lo processa e lo trasforma in un "db locale" di utenti  
accettati.
necessita un po' di cura la gestione degli errori per l'importazione  
del file, ma ho delle macchine che fanno questo da qualche anno senza  
perdere un colpo... pro lavora solo il relay molto velocemente,  
contro, il delay quando aggiungi/rimuovi utenti.

un mayhem ed i tentativi che possono arrivare su una 16Mb/s ...
--
Let's pick up the pace, make the parties longer, and the skirt shorter.
Let's all go to hell in a fast car and keep it hot!
https://www.mayhem.hk - Key on pgp.mit.edu ID B88FE057

Attachment: smime.p7s
Description: S/MIME cryptographic signature