Detectar envio spam
-
Hola a todos!
Tengo un problema que me esta volviendo un poco loco,
Tengo una red con un servidor interno Exchange, y llevo varios dias que estan utilizando mi SMTP para enviar spam, sobretodo:
service@westernunion.com y paypal.com
Mi pregunta es si podria detectar que PC es el que esta infectado ayudandome de las herramientas de PfSense.
El esquema es:
WAN–> PFSENSE-->LANGracias y saludos.
-
Si te están haciendo esto quiere decir que tu Exchange está mal configurado y admite "dejar" correo en él sin autentificación de usuario.
O quizás sea una máquina con Outlook infectado, como dices.
Bueno, de entrada mira [Diagnostics] [States] en momentos en que se supone que no debería haber clientes enviando correos.
¡Suerte!
-
Puedes bloquear todos los puertos salientes SMTP excepto el de tu exchange server para ver si realmente es el responsable de tu spam y no otra maquina de tu red infectada!
Tambien si entras x ssh al pfsense puedes monitorear todos los mails salientes para determinar quien esta enviandotcpdump -v -i <interfase wan="">src host <wan ip="">and dst port 25</wan></interfase>
-
[Diagnostics] [States] solo se ven las conexiones por IP como se podria ver si esta enviando spam
a mi tambien me tiene loco este problema!! -
Tendrías que explicar tu instalación… ¿Tienes un servidor de correo? ¿O simplemente son clientes de correo (tipo Outlook) que reciben spam)?
Detectar spam no es evidente. Puedes ver en [Diagnostics] [States] las máquinas que están yendo a destinos con puerto 25 (SMTP) pero pueden ser conexiones lícitas. Por eso decía de mirarlo en un momento en que se suponga que los usuarios no están enviando correo por ellos mismos.
[OT] Para evitar spam hay que emplear varios métodos, a nivel del servidor de correo:
- Forzar autentificación de usuario en el servidor SMTP.
- Dotar al servidor SMTP de herramientas de análisis de correo (spam y antivirus).
- Emplear listas negras, http://es.wikipedia.org/wiki/Lista_negra_(Internet)
- Emplear listas grises, http://es.wikipedia.org/wiki/Greylisting
Lo mejor es combinarlos todos y es complicado de ajustar bien.