Invia la tua configurazione SMTP allo spammer

aprile 2, 2018 provider di me stesso

Almeno una volta ogni paio di settimane il monitoraggio di postfix mi avvisa del fatto che qualcuno sta inviando posta autenticata da tre o più indirizzi IP in meno di 10 minuti e questo è un campanello di allarme molto affidabile che dice che qualcuno sta inviando posta tramite un account “rubato” o che semplicemente il cliente ha una password… stupida? Ci sono molti modi per ottenere una password di un account: potresti forzare il client SMTP/POP/IMAP ad utilizzare una connessione non cifrata e sniffare il contenuto, installare un trojan sul PC e farti inviare le configurazioni via HTTP oppure… fartele inviare direttamente via SMTP ed è quello che sta facendo il mio spammer preferito. Il subject mail inviata dal cliente è infatti questo:

smtp.domain.it:smtp-port:username@domain.tld:password:username@domain.tld:ssl|nossl::::0

e contiene già tutto il necessario. Io combatto questo spam utilizzando questa espressione headers_check di postfix:

/^subject:.*:.*ssl:/ REJECT Can't disclosure configuration 1

ed il risultato nei log è questo:

Apr 2 11:16:13 mail-a-eqs postfix/cleanup[13835]: B3D44253F5: reject: header Subject:? 
 smtp.domain.it:587:username@domain.tld:username2018:username@domain.tld:ssl::::0 from 
 unknown[xx.xx.xx.xx]; from=<username@domain.tld> to=<mail22@kikerestor.xyz> proto=ESMTP 
 helo=<[127.0.0.1]>: 5.7.1 Can't disclosure configuration 1

Ah si, non sto scherzando, il cliente username@domain.tld sta utilizzando username2018 come passsword… credo che non reggerà ancora a lungo…

Questo post è disponibile anche in: English