Invia la tua configurazione SMTP allo spammer

Almeno una volta ogni paio di settimane il monitoraggio di postfix mi avvisa del fatto che qualcuno sta inviando posta autenticata da tre o più indirizzi IP in meno di 10 minuti e questo è un campanello di allarme molto affidabile che dice che qualcuno sta inviando posta tramite un account “rubato” o che semplicemente il cliente ha una password… stupida? Ci sono molti modi per ottenere una password di un account: potresti forzare il client SMTP/POP/IMAP ad utilizzare una connessione non cifrata e sniffare il contenuto, installare un trojan sul PC e farti inviare le configurazioni via HTTP oppure… fartele inviare direttamente via SMTP ed è quello che sta facendo il mio spammer preferito. Il subject mail inviata dal cliente è infatti questo:

smtp.domain.it:smtp-port:username@domain.tld:password:username@domain.tld:ssl|nossl::::0

e contiene già tutto il necessario. Io combatto questo spam utilizzando questa espressione headers_check di postfix:

/^subject:.*:.*ssl:/ REJECT Can't disclosure configuration 1

ed il risultato nei log è questo:

Apr 2 11:16:13 mail-a-eqs postfix/cleanup[13835]: B3D44253F5: reject: header Subject:? 
 smtp.domain.it:587:username@domain.tld:username2018:username@domain.tld:ssl::::0 from 
 unknown[xx.xx.xx.xx]; from=<username@domain.tld> to=<mail22@kikerestor.xyz> proto=ESMTP 
 helo=<[127.0.0.1]>: 5.7.1 Can't disclosure configuration 1

Ah si, non sto scherzando, il cliente username@domain.tld sta utilizzando username2018 come passsword… credo che non reggerà ancora a lungo…

Questo post è disponibile anche in: English