Koozali.org: home of the SME Server

Attacco su SMTP?

Offline gromit60

  • ***
  • 97
  • +0/-0
Attacco su SMTP?
« on: November 13, 2017, 10:55:00 AM »
Indagando sul perché postmaster di impresasemplice.it mi dice che alcuni messaggi non sono stati recapitati e quindi messi in coda, mi sono imbattuto in questo:

2017-11-12 22:03:41.343714500 6466 Accepted connection 0/40 from 66.70.255.189 / ip189.ip-66-70-255.net
2017-11-12 22:03:41.343775500 6466 Connection from ip189.ip-66-70-255.net [66.70.255.189]
2017-11-12 22:03:42.502136500 6466 (connect) earlytalker: pass, not spontaneous
2017-11-12 22:03:42.503790500 6466 (connect) relay: skip, no match
2017-11-12 22:03:42.503966500 6466 220 xxx.yyyyyy.it ESMTP
2017-11-12 22:03:42.653232500 6466 dispatching EHLO Dk6NnyKy
2017-11-12 22:03:42.654761500 6466 (ehlo) helo: pass
2017-11-12 22:03:42.655850500 6466 250-yyyyyy.it Hi ip189.ip-66-70-255.net [66.70.255.189]
2017-11-12 22:03:42.655852500 6466 250-PIPELINING
2017-11-12 22:03:42.655877500 6466 250-8BITMIME
2017-11-12 22:03:42.655899500 6466 250-SIZE 30000000
2017-11-12 22:03:42.655936500 6466 250 STARTTLS
2017-11-12 22:03:42.805450500 6466 dispatching AUTH LOGIN
2017-11-12 22:03:42.805773500 6466 (unrecognized_command) count_unrecognized_commands: 'auth', (1)
2017-11-12 22:03:42.805916500 6466 500 Unrecognized command
2017-11-12 22:03:43.106995500 2179 cleaning up after 6466

Questi messaggi cominciano alle 22:03, continuano fino alle 22:23, poi c'è un buco nel log di 22 minuti, fino alle 22:45:

2017-11-12 22:23:35.831407500 2179 cleaning up after 7355
2017-11-12 22:45:02.402369500 7598 Accepted connection 0/40 from 69.171.232.142 / 69-171-232-142.outmail.facebook.com

Mi devo preoccupare?

Si tratta di uno SME 9.2

Grazie in anticipo.

Aggiorno.
Guardando la history è sparito (quasi) tutto.

[root@xxx etc]# history | more
    1  2017-11-13 08:58:36 htop
    2  2017-11-13 08:58:36 yum update
    3  2017-11-13 08:58:36 shutdown -r 0
    4  2017-11-13 09:44:29 history | grep hylafax
    5  2017-11-13 09:44:41 ps aux | grep hylafax
    6  2017-11-13 09:48:01 config getprop hylafax
    7  2017-11-13 09:48:10 config getprop hylafax status
    8  2017-11-13 09:50:50 /etc/rc.d/init.d/hylafax stop
    9  2017-11-13 10:47:10 cat /proc/mdstat
   10  2017-11-13 11:00:53 history
   11  2017-11-13 11:04:08 history | more
   12  2017-11-13 11:04:38 export HISTTIMEFORMAT='%F %T '
   13  2017-11-13 11:04:41 history | more
 
Tenendo conto che in realtà i primi tre comandi li ho dati ieri pomeriggio, verso le 17:45...
« Last Edit: November 13, 2017, 11:10:04 AM by gromit60 »

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Attacco su SMTP?
« Reply #1 on: November 13, 2017, 11:08:33 AM »
non ti devi preoccupare se le password dei tuoi utenti sono valide.
ti cosniglio comunque di installare smeserver-fail2ban (apposita pagina del wiki.. leggere bene)

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Attacco su SMTP?
« Reply #2 on: November 13, 2017, 11:10:32 AM »
Grazie Stefano. Nel frattempo ho fatto un aggiornamento del post.

Cmq no, le password non sono valide: hanno tutti la stessa password.

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Attacco su SMTP?
« Reply #3 on: November 13, 2017, 11:20:22 AM »
Grazie Stefano. Nel frattempo ho fatto un aggiornamento del post.

ecco, se possibile, non farlo :-)
aggiungi post ma non correggere quelli precedenti, rende molto difficile seguire la cosa e obbliga a rileggere tutto, grazie

Quote
Cmq no, le password non sono valide: hanno tutti la stessa password.

male.. spero almeno che sia complessa

macchina aggiornata?
cosa gira sulla macchina? che macchina è? reale o virtuale?

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Attacco su SMTP?
« Reply #4 on: November 13, 2017, 12:11:40 PM »
ecco, se possibile, non farlo :-)
aggiungi post ma non correggere quelli precedenti, rende molto difficile seguire la cosa e obbliga a rileggere tutto, grazie

Giusto... mi ero fatto prendere la mano!

Quote
male.. spero almeno che sia complessa

Che dire... complessina, una maiuscola, due numeri e un carattere alfanumerico

Quote
macchina aggiornata?
cosa gira sulla macchina? che macchina è? reale o virtuale?

Sì, è aggiornata ed è una macchina reale. Ci gira sopra un smtp diretto, un server fax però disabilitato perché non più usato, delle condivisioni samba e backuppc.

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Attacco su SMTP?
« Reply #5 on: November 13, 2017, 02:14:57 PM »
1) se non lo hai, installa fail2ban
2) password diverse e che soddisfino la severità imposta da SME (non toglierla)

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Attacco su SMTP?
« Reply #6 on: November 14, 2017, 09:41:09 AM »
Grazie. Seguirò pedissequamente.

A proposito, ho fatto un'analisi con rkhunter ma pare non ci sia nulla di rilevante.

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Attacco su SMTP?
« Reply #7 on: November 14, 2017, 09:43:45 AM »
ok.. occhio che comunque rkhunter è relativamente affidabile..

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Attacco su SMTP?
« Reply #8 on: November 14, 2017, 11:10:32 AM »
Installato e scansionato anche con chkrootkit. Anche qui nulla di che, se non un falso positivo conosciuto sulla porta 465.

Non che mi fidi soverchiamente di questi strumenti, ma almeno per un controllo di massima dovrebbero andare bene (spero).

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Attacco su SMTP?
« Reply #9 on: November 14, 2017, 11:22:07 AM »
ci sono applicazioni web esposte su wan?

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Attacco su SMTP?
« Reply #10 on: November 15, 2017, 09:30:54 AM »
Lo SME è dietro ad un pfsense, interposto ad un router TIM ( :( ). La 25 viene forwardata direttamente, ssh e 443 tramite porte "mascherate", cioè diverse.

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Attacco su SMTP?
« Reply #11 on: November 15, 2017, 09:32:52 AM »
ok.. ma tieni sempre a mente che una applicazione web vulnerabile, se viene esposta anche tramite un firewall su porta diversa, resta vulnerabile ;-)

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Attacco su SMTP?
« Reply #12 on: November 15, 2017, 09:42:15 AM »
Tenendo costantemente aggiornato lo SME, si può essere ragionevolmente sicuri? In ogni caso ho installato fail2ban seguendo il tuo prezioso consiglio.

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Attacco su SMTP?
« Reply #13 on: November 15, 2017, 09:46:07 AM »
se le applicazioni web sono solo quelle native di SME (praticamente la webmail e basta) allora si, sei ragionevolmente tranquillo
se hai roba tipo wordpress, joomla ecc allora devi tenere aggiornato sia l'applicazione che *tutti* gli eventuali plugin

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Attacco su SMTP?
« Reply #14 on: November 15, 2017, 10:18:21 AM »
No, su quella macchina ho solo servizi nativi e non ci sono altre applicazioni web.

Scusa se approfitto, ma il fatto che arrivino avvisi di ritardata consegna delle mail, a cosa è dovuto? Nello specifico le mail vengono inviate tramite un smtp relay autenticato su impresasemplice; improvvisamente sono cominciate ad arrivare mail di ritardata consegna verso alcuni indirizzi. La cosa ha generato un panico generale. A me è parso un problema temporaneo. Un esempio:

Il recapito è ritardato per i seguenti destinatari o liste di distribuzione:

eleonora@xyz.com

Oggetto: Re: Fwd: PREVENTIVO

Il messaggio non è stato ancora recapitato. Microsoft Exchange continuerà a tentare di recapitare il messaggio per conto del mittente.

Il recapito di questo messaggio verrà tentato fino a 15/11/2017 11.11.04 (GMT + 1.00 h) Amsterdam, Berlino, Berna, Roma, Stoccolma, Vienna. Verrà inviato un messaggio di notifica se il messaggio non può essere recapitato entro l'ora specificata.


Direi che è un problema loro (cioè di TIM)

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Attacco su SMTP?
« Reply #15 on: November 15, 2017, 10:31:03 AM »
direi di si.. mi gioco 30€c che hanno la coda piena e quindi stanno lentamente inoltrando..

sei costretto ad usare quello smarthost?
come sei connesso? hai un ip statico o cosa?
tutti i dettagli, grazie

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Attacco su SMTP?
« Reply #16 on: November 15, 2017, 12:01:32 PM »
Lasciamo perdere... con Telecom è una battaglia persa. Stanno cambiando il servizio, Impresasemplice funziona, anzi no, forse sì...

Purtroppo erano costretti ad utilizzare quel smtp per una vecchia storia di blacklisting mai chiarita fino in fondo e per la quale sono finiti in tribunale con Telecom.

Fattosta che ora gli ho messo il mio.

P.S. Potevi scommettere anche 3000 euri, avresti vinto ugualmente :) :) :)
« Last Edit: November 15, 2017, 12:05:17 PM by gromit60 »

Offline Fumetto

  • *
  • 874
  • +1/-0
Re: Attacco su SMTP?
« Reply #17 on: November 16, 2017, 12:32:59 AM »
Anche gli account "business" TIM con il modem bianco da casa fanno defecare in abbondanza... 3 settimane per farmi assegnare l'IP statico e degli 8 IP pagati in fattura (due per l'esattezza) a distanza di un anno neanche l'ombra...

TIM (nella mia esperienza) è un pò "a culo": se sei vicino alla centrale, se abiti in zona ben servita, se non piove, se... appunto... hai culo... allora va bene. Altrimenti muoro pazzo ^_^

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Attacco su SMTP?
« Reply #18 on: November 16, 2017, 10:40:46 AM »
Poteva una roba andare dritta? Ho installato fail2ban, ma non vuole saperne di avviarsi.
L'ho installato anche su uno SME virtuale che uso per prova (sempre 9.2) ed è filato tutto liscio...

Risolto! Praticamente gli mancava un file di log, infatti:

/etc/init.d/fail2ban start

mi riportava mancante il file di log di sogo.
L'ho creato a mano (/var/log/sogo/sogo.log) e magicamente fail2ban è partito.