web-dev-qa-db-ja.com

発信スパムを防ぐ

ホスティングアカウントが侵害された場合にスパムがサーバーから流出するのを防ぐ方法は何ですか?

Cpanelを備えたサーバー上に多数のクライアントがありますが、アカウントが侵害された場合にチャンスを防ぐ方法があるかどうか疑問に思っています。

  • 侵害されたという意味では、クライアントがサインアップするか、クライアントアカウントがハッキングされ、そのアカウントがスパムに使用されます。

  • eximまたはspamassassinで、メールの送信をブロック/停止するタイプのフィルター/ブラックリスト用語を設定できませんでしたか?

linuxemailweb-hostingeximspamassassin
5
Nikki Wilson

妥協しないでください。真剣に。

  • トラフィックを監視します。何が正常であるかを理解し、異常なトラフィックを認識できるようになります。

  • 不要なデーモンをシャットダウンします。サーバーがメールを送信することになっていない場合は、sendmailまたはpostfixを実行しないでください。

  • SSHアクセスを制限するか、SSHに非標準ポートを割り当てます(たとえば、デフォルトのポート22を使用しないでください)。ポート22を使用する必要がある場合は、 DenyHosts のようなサービスで拡張して、インバウンドSSHボット認証の試行を追跡および停止します。

  • あなた自身とあなたの顧客のために強力なパスワードを使用または強制します。

ああ、これ: スパムとの戦い-メール管理者、ドメイン所有者、またはユーザーとして何ができますか?

6
ewwhite

最も簡単な方法は、クライアントがIPのブロックを解除するように「要求」するまで、ポート25への発信接続をブロックすることです。そもそもCPanelホスティングサイトからメールサーバーを実行している人はいないはずです(別のサーバーから「送信」される電子メールを生成している場合は、 ポート)でそのサーバーに送信する必要があります。 RFCごとに587 そして1998年以来そのようになっています)。

宛先ポート25のトラフィックをブロックしなくても、より多くのプロバイダーがあなたのレベルの考慮事項を持っていることを本当に望んでいます。私たちはその考えに感謝し、ファイアウォールをさらに感謝します。

3
Chris S

あなたはウェブホスティングプロバイダーを運営しています。これは、その性質上、クライアントが信頼できない、しばしば安全でないコードを実行することを意味します。

サーバーを一般的に保護するためにすでに実行している必要があることとは別に、次のことを考慮してください。

  • maldet などのツールを使用して、クライアントデータに対してマルウェアスキャンを実行します。定義を最新の状態に保ちます。

  • ローカルメールサーバーへの送信SMTPトラフィックのみを許可します。ローカルメールサーバーでは、送信メールをログに記録して制御できます。メールサーバー以外がリモートホストのポート25に接続できないようにするアウトバウンドファイアウォールルールを追加します。ルールの例は次のとおりです。

    iptables -I OUTPUT -m owner ! --uid-owner EXIM_USER -p tcp --dport 25 -j DROP

    (Gmailなどの顧客のサードパーティメールサーバーへの認証済みSMTPトラフィックは、ポート587で実行され、これによる影響を受けません。)

3
Michael Hampton

使用しているサーバーのいずれにも送信メールが必要ない場合は、ホストにチケットを入れて、システムのポート25のインバウンドとアウトバウンドをブロックするように依頼します。 ewwhiteには正しい考えがあります。システムのいずれかが完全に侵害された場合、そのシステムでスパムゾンビや同様に望ましくないものになるのを防ぐためにできることは何もありません。ただし、チェーンのさらに1ステップ上に介入することはできます。

包括的な防御戦略、更新の維持、アクセスの制限、およびewwhiteが言及するその他すべてのベストプラクティスに加えて、最小特権の原則をホストまたはネットワークプロバイダーに対してレベルアップすることをお勧めします。マシンがメールを送信する必要がない場合は、メールを送信する必要がないようにします本当に送信できません。

1
Scrivener

Ewwhiteのアドバイスと、ファイアウォールのメールホスト以外からのすべてのSMTPトラフィックをMichealHamptonからドロップするという提案をエコーし​​ます。

もう1つの提案は、アウトバウンドSMTP用にクライアントのアプリにトラフィックスヌープを設定することです。彼らのウェブサーバーはメールを生成してはならないので、もしそうなら、それが何であるかを見たいと思うでしょう-おそらくあなたは元のソースへの洞察を集めることができます。おそらく試すべき他のこと:

クライアントのIPブロックがわかっている場合は、Telnet、リモートデスクトップ(3389)、およびWebホストへのSSHトラフィックをキャプチャし、結果からIPブロックを除外できます。これにより、他の誰かがホストを制御しているかどうかがわかります。

このプロトコルはゾンビコンピューターのコマンドアンドコントロールネットとして広く使用されているため、スヌープするもう1つのタイプのトラフィックはIRCです。または、SMTPをドロップしたのと同じ方法で、ファイアウォールにIRCポートをドロップします。

マルウェアのもう1つの可能性のあるベクトルは、急流を介したものです。クライアントのWebサーバーがトレント接続を開いている場合は、トレント配布ノードおよび電子メールスパムソースとして使用されている可能性があります。クライアントがこれをサポートされているサービスとして要求していない場合は、ファイアウォールにドロップするか、ホスト上のサービスを強制終了できます。

究極の解決策は、テイクオーバーベクトルを検索するために必要なものをバックアップしたら(または何が起こったのかを見つけるための実際のプッシュがない場合)、単にVM)を強制終了するか、イメージを再作成することができますサーバーにアクセスしてから、以前のバックアップからクライアントのアプリとデータを復元します。これに問題がある可能性があります...しかし、これはセキュリティで保護されていないコードを実行するコストの1つです。

0
George Erhard