Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Ataques SMTP PDF

    Enviado por

    Claudio Jesus Santos
    11 visualizações50 páginas

    Título original

    ataques-smtp.pdf

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    11 visualizações50 páginas

    Ataques SMTP PDF

    Enviado por

    Claudio Jesus Santos

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 50

    InstitutodeComputaoUnicamp

    AtaquescontraoSMTP

    Comoasbotnetsenviamspam

    MiguelDiCiurcioFilho
    AdministraodeSistemas
    miguel@ic.unicamp.br
    EmailnoIC
    Recebehmuitosanosusuriostinham
    acessoaomboxviaNFS.
    importantssimoparaasatividadesde
    professoresealunos(2400usurios).
    Qualquerproblemanotadorapidamente.
    EmailnoIC
    CentOS
    Postfix
    Dovecot
    Amavis
    Squirrelmail
    SMTP
    oprotocolo,notemosoutro.Pacincia.
    Modelospullnosoescalveis.Desista.
    Existeh27anosecontinuaemuso.
    Talvezsejatardedemaisparamudar.
    Pseudofederao
    Pseudofederao
    Redesestveis.
    Facilmenteidentificveis.
    Altaconcentraodeusurios.
    Pseudofederao
    Pseudofederao
    Usuriossubmetemmensagensnoprovedor.
    Provedorespodemidentificarfacilmenteabuso.
    UsuriosnoacessamdiretamenteoMXdos
    destinatrios.
    Gernciadaporta25j!
    Porm...
    Botnet
    Conjuntodecomputadorescontroladosporum
    terceiroremotamente.
    Cadacomputadorchamadodezumbi.
    Osoftwaremaliciosofazdetudoparanoser
    detectado.
    Oszumbissoutilizadosparavrios
    propsitos,entreelesenviarspam.
    Pseudofederao
    Ento,comoevitaroszumbis?
    Comoevitaroszumbis?
    RFCssofundamentais.
    ServidoresdafederaoseguemasRFCs,
    zumbisno.
    Zumbisexploramalgunsequvocosdo
    protocolo.
    ObomevelhoSMTP...
    $dig+shorttmxgmail.com
    5gmailsmtpin.l.google.com.
    10alt1.gmailsmtpin.l.google.com.
    20alt2.gmailsmtpin.l.google.com.
    30alt3.gmailsmtpin.l.google.com.
    40alt4.gmailsmtpin.l.google.com.
    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    2502.1.0Ok
    DATA
    354Enddatawith<CR><LF>.<CR><LF>
    Subject:Teste
    From:Miguel<miguel@ic.unicamp.br>

    Esseocorpo.
    .
    2502.0.0Ok:queuedasD3F99100A4
    Zumbisnosoeducados.
    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    2502.1.0Ok
    DATA
    354Enddatawith<CR><LF>.<CR><LF>
    Subject:Teste
    From:Miguel<miguel@ic.unicamp.br>

    Esseocorpo.
    .
    2502.0.0Ok:queuedasD3F99100A4
    HELO/EHLO
    AclientSMTPSHOULDstartanSMTP
    sessionbyissuingtheEHLOcommand.
    Theargumentclausecontainsthefully
    qualifieddomainnameoftheSMTPclient
    HELO/EHLO
    AclientSMTPSHOULDstartanSMTP
    sessionbyissuingtheEHLOcommand.
    Theargumentclausecontainsthefully
    qualifieddomainnameoftheSMTPclient
    HELO/EHLO
    ZumbisnofornecemumFQDN
    pecezao
    xyzjufhhjtyf
    Utilizereject_non_fqdn_helo_hostname
    Zumbisnodizemoldeverdade.
    HELO/EHLO
    FQDNsvlidoseinvlidos:
    localhost
    Seuprprionome
    RFCnodessadica.
    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    localhost
    gmailsmtpin.l.google.com
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    2502.1.0Ok
    DATA
    354Enddatawith<CR><LF>.<CR><LF>
    Subject:Teste
    From:Miguel<miguel@ic.unicamp.br>

    Esseocorpo.
    .
    2502.0.0Ok:queuedasD3F99100A4
    HELO/EHLO
    check_helo_accessregexp:/etc/postfix/helo
    checks.regexp

    /^mx\.dominio\.br$/REJECTYouarenotme
    /localhost/REJECTNo,youarenotlocalhost
    Zumbisdizemolcomumsorriso
    amarelo.
    HELO/EHLO

    InsituationsinwhichtheSMTPclientsystem
    doesnothaveameaningfuldomainname(e.g.,
    whenitsaddressisdynamicallyallocatedandno
    reversemappingrecordisavailable),theclient
    SHOULDsendanaddressliteral...
    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    [143.106.7.43]
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    2502.1.0Ok
    DATA
    354Enddatawith<CR><LF>.<CR><LF>
    Subject:Teste
    From:Miguel<miguel@ic.unicamp.br>

    Esseocorpo.
    .
    2502.0.0Ok:queuedasD3F99100A4
    HELO/EHLO
    IPliteralnoutilizadonafederao
    ZumbisqueusamIPliteral
    seguronegaressescasos
    HELO/EHLO
    check_helo_accessregexp:/etc/postfix/helo
    checks.regexp

    /^\[[[:digit:]\.]*\]$/REJECTLocalpolicyprohibits
    addressliteralsinhelo
    /^[[:digit:]\.]*$/REJECTLocalpolicyprohibitsIP
    addressinhelo
    Zumbisnotemreverso.
    Reverso
    RFC1912:CommonDNSOperationaland
    ConfigurationErrors
    MakesureyourPTRandArecordsmatch.
    ForeveryIPaddress,thereshouldbea
    matchingPTRrecordintheinaddr.arpa
    domain.
    Utilizereject_unknown_client_hostname
    Zumbistemmuitapressa.
    Limitaodevelocidade
    Zumbisabremconexesloucamente
    Mantmmuitasconexessimultneas
    Abremnovasconexesrapidamente
    Tentamentregarparamuitosremetentes
    Nodeixeseuservidorsemlimites
    Limitaodevelocidade
    smtpd_client_connection_rate_limit=15
    smtpd_client_connection_count_limit=10
    smtpd_client_message_rate_limit=25
    Zumbisnoreconhecemquando
    erram.
    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    4504.7.1Greylisting,comebacklatter
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    Errossoignorados
    Zumbisignoramerros
    Servidoresaceitamcomandosapserro(RFC
    autoriza)
    Controlesdevelocidadepodemserirrelevantes
    Zumbisdevemsofrerseerrarem
    smtpd_hard_error_limit=3
    smtpd_soft_error_limit=1
    smtpd_error_sleep_time=20s
    Zumbissofracos.Elesdoreboot.
    220gmailsmtpin.l.google.comESMTP
    EHLOtaquaral.ic.unicamp.br
    250mx.google.com
    250SIZE35651584
    250PIPELINING
    MAILFROM:<miguel@ic.unicamp.br>
    2502.1.0Ok
    RCPTTO:<miguel.filho@gmail.com>
    4504.7.1Greylisting,comebacklatter
    RSET
    2502.0.0Ok
    RSET

    Thiscommandspecifiesthatthecurrentmail
    transactionwillbeaborted.Anystoredsender,
    recipients,andmaildataMUSTbediscarded,and
    allbuffersandstatetablescleared.
    RSET
    smtpd_junk_command_limit=1
    smtpd_error_sleep_time=20s

    Colocaroszumbisparadormirmuito
    eficiente
    ZumbisestonaSpamHaus.
    Maistcnicasantispam
    VerificarsedomnioremetentetemMX
    IPpblico
    Potencialparafalsospositivos:
    VerificarseFQDNnoEHLO/HELOexiste
    VerificarseFQDNdoEHLO/HELOomesmodo
    clienteseconectando
    Eficinciaemnmeros
    3% 1% 2%
    4%
    3% 10% Usurionoexiste
    Remetenteinvlido
    10% Domniodoremeten
    tenoexiste
    HeloIPliteral
    14% Heloinvlido
    Reversoinvlido
    SpamHaus
    Greylisting
    Outros

    52%
    Maisnmeros
    ~220000mensagensrecusadas
    ~6300desconexesdepoisdeumRSETe
    outras~6000timeoutsvariadoseconexes
    ignoradasporratelimiting
    ~23000chegaramaoAmavis
    1425eramspam
    93%delixo
    Sejaumbomcidado
    Faaseuservidorentregarmensagenscom
    calma
    smtp_destination_concurrency_limit=5
    smtp_destination_recipient_limit=10
    Obrigado!

    http://www.ic.unicamp.br/~miguel

    Você também pode gostar