[Ayuda] Filtrar correo de salida

Sandino Araico Sánchez sandino en sandino.net
Vie Ene 6 11:47:57 CST 2006 

Pavel Santos Nicasio wrote:

> Compañeros necesito saber como puedo filtrar el correo que sale mi 
> servidor (sendmail + Mailscanner + Clamav ) pues según infinitum 
> estamos enviando virus y necesito saber si alguna maquina interna 
> tiene algun problema pues todas tienen antivirus y no permitimos 
> relaying de fuera.

Primero, hay dos herramientas que te pueden ayudar a verificar que estén 
saliendo ataques de virus de tu red hacia Internet:

1. Ntop http://www.ntop.org/ te contabiliza todo el tráfico desde/hacia 
todas las máquinas de tu red y lo clasifica por puertos... Con esa 
herramienta podrías darte cuenta muy fácilmente si  hay una máquina de 
tu red mandando mucho tráfico por el puerto 25 hacia todos lados...

2. Snort http://www.snort.org/ es in IDS que _sí_ te va a detectar 
muchos ataques desde/hacia tu red, sobre todo los que tratan de explotar 
vulnerabilidades públicas. Existe la posibilidad de que Snort también te 
reporte el paso de correos infectados por tu red, pero no esperes mucho 
del Snort en ese campo, su heurística no es de las mejores (está basado 
en firmas), algunos simplistas lo han descrito como un grep con 
vitaminas. Sin embargo para detección de ataques remotos a 
vulnerabilidades conocidas es de lo mejor que existe.

Estas dos herramientas sólo te sirven si tu gateway/firewall es Linux 
(bueno, en realidad también puede ser *BSD para que no se sientan 
desplazados y no lloren) y pasa a través de él todo tu tráfico hacia 
Internet. Si tu gateway es Linksys o 3Com o Cisco o de algún otro 
fabricante te tendrás que atener a las herramientas que ellos te 
proporcionen y no hay mucho que Snort o Ntop puedan hacer a menos que.t>; Mon,  9 Jan 2006 16:07:25 -0600 (CST)
Received: from localhost ([127.0.0.1] helo=pegaso.fisica.unam.mx)
	by pegaso.fisica.unam.mx with esmtp (Exim 3.35 #1 (Debian))
	id 1Ew58b-0007EY-00; Mon, 09 Jan 2006 16:05:13 -0600
Received: from xproxy.gmail.com ([66.249.82.203])
	by pegaso.fisica.unam.mx with esmtp (Exim 3.35 #1 (Debian))
	id 1Ew57r-0007EJ-00
	for <ayuda en linux.org.mx>; Mon, 09 Jan 2006 16:04:27 -0600
Received: by xproxy.gmail.com with SMTP id t15so2220603wxc
        for <ayuda en linux.org.mx>; Mon, 09 Jan 2006 14:02:07 -0800 (PST)
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
        s¾ta; d=gmail.com;
        h=received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:content-transfer-encoding:content-disposition:references;
        b=q1j6CAPt1tvZa1BAPxuAIFbeoVOW6J2+uAqxDnS1+L8LZFRlOSkRNVqBb3QX5w1kp6zkCNTxVMHRaKdx6zgI8TKUq1d4RUebJzY6kzgDse9ESkktCA+bhZBZ7L44r5nQcyb/5qv0fBjKY6GdtVdzueodjV8wHcRZUTpGG4CXoocReceived: by 10.70.54.8 with SMTP id c8mr6368662wxa;
        Mon, 09 Jan 2006 14:02:07 -0800 (PST)
Received: by 10.70.62.13 with HTTP; Mon, 9 Jan 2006 14:02:07 -0800 (PST)
Message-ID: <94e907240601091402p3d6adf32n88e0d5af3616b844 en mail.gmail.com>
From: Fernando Barajas <fernando.barajas en gmail.com>
To: Juan Jose Bermejo <jujobepa en yahoo.com>, ayuda linux <ayuda en linux.org.mx>
Subject: Re: [Ayuda] DOS
In-Reply-To: <20060109210755.62765.qmail en web51706.mail.yahoo.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
References: <20060109210755.62765.qmail en web51706.mail.yahoo.com>
Sender: ayuda-admin en linux.org.mx
Errors-To: ayuda-admin en linux.org.mx
X-BeenThere: ayuda en linux.org.mx
X-Mailman-Version: 2.0.11
Precedence: bulk
List-Help: <mailto:ayuda-request en linux.org.mx?subject=help>
List-Post: <mailto:ayuda en linux.org.mx>
List-Subscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>,
	<mailto:ayuda-request en linux.org.mx?subject=subscribe>
List-Id: GNU/Linux help list <ayuda.linux.org.mx>
List-Unsubscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>,
	<mailto:ayuda-request en linux.org.mx?subject=unsubscribe>
List-Archive: <https://mail.linux.org.mx/pipermail/ayuda/>
X-Original-Date: Mon, 9 Jan 2006 16:02:07 -0600
Date: Mon, 9 Jan 2006 16:02:07 -0600
X-Virus-Scanned: amavisd-new at sandino.net

Eso me suena mas bien a un ataque de fuerza bruta, y no tanto a un ataque DoS.

Para protegerte de ataques de fuerza bruta utiliza el Brute Force
Detector http://www.rfxnetworks.com/bfd.php que funciona junto con el
Advanced Policy Firewall http://www.rfxnetworks.com/apf.php

Saludos!

--
Fernando Barajas Díaz-Lozano		  ICQ: 7237681
fbarajas en nuestroweb.com			  MSN: fbarajas en sistec.com.mx
www.nuestroweb.com			  Y!: barajasfernando
Cel: (044-222) 319-1678			  JABBER: fbarajas en jabber.org

 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda