Valutazione attuale: 1 / 5

Stella attivaStella inattivaStella inattivaStella inattivaStella inattiva
 

Indice articoli

Essendo un dominio su IP dinamico, alcuni ISP tendono a ragione a bloccare le email provenienti da questi indirizzi, (onde evitare massicce dosi di spam) e quindi non e' possibile spedire email direttamente a questi domini, e libero.it e' uno di essi, mentre ad esempio tiscali.it o telecomitalia.it accetta tranquillamente le mail.

Cio' non e' immediatamente ovvio, ne molto conosciuto! 

quindi un bel giorno, mi sono ritrovato  a non capire perche' le mail che avevo spedito giorni prima non erano arrivate a destinazione, e dalle statistiche webalizer mi ritrovavo con valori molto alti di traffico in uscita, indagando , ho visto che tra i log in /var/log/mail.log mi ritrovo il seguente errore :

 host mxlibero2.libero.it[212.52.84.84] refused to talk to me: 554-mailrelay02.libero.it 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.

errore che neanche loro sanno cosa sia, poi chiaccherando con degli amici, mi hanno suggerito di controllare se il mio ip e' tra quelli bannati perche' dinamici, ed effettuando un rapido controllo su http://www.spamhaus.org/zen/ viene fuori che l' indirizzo fa' parte delle Policy Block List (PBL), anzi vi e' pure una spiegazione che richiama all' uso da parte di wind di tale policy!! quindi, niente mail dirette tramite il mio server!!! cio' mi sarebbe stato molto comodo per spedire le foto agli amici, essendo il server in lan locale, usandolo come smtp, il mio client di posta avrebbe spedito immediatamente mega e mega di foto all' smtp, il quale poi si sarebbe fatto carico con i comodi della lentezza dell' adsl di inviarli agli utenti finali, ma cio' lo posso fare per tutti gli amici tranne per quelli che hanno una casella di posta su libero!!!!

 Altro problema da tenere in considerazione e' quello che in molti su internet, cercano server da aprire per farsi i loro comodi (ad essere molto buoni) e quindi quasi subito ho iniziato a vedere che nei log in /var/log/auth.log erano presenti delle righe tipo

sshd[14566]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.95.228.154  user=root
sshd[14566]: Failed password for root from 218.95.228.154 port 49160 ssh2
sshd[14568]: Invalid user apple from 218.95.228.154
sshd[14568]: pam_unix(ssh:auth): check pass; user unknown
sshd[14568]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.95.228.154
sshd[14568]: Failed password for invalid user apple from 218.95.228.154 port 51179 ssh2
sshd[14572]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.95.228.154  user=root
sshd[14572]: Failed password for root from 218.95.228.154 port 53158 ssh2
sshd[14576]: Invalid user brian from 218.95.228.154
sshd[14576]: pam_unix(ssh:auth): check pass; user unknown
 

che mi riportavano il fatto che qualcuno si stava divertendo a tentare di accedere in ssh al mio server senza averne i diritti tentando un' attacco a dizionario, debbo dire che inizialmente la mia fortuna e' stata quella di usare una robusta policy  per le password con caratteri numerici, segni d' interpunzione, caratteri maiuscoli e minuscoli, lunghezza non inferiore a 12 caratteri e non e' una parola di senso compiuto, ma in ogni caso la cosa non e' piacevole, quindi documentandomi con san google, ho trovato uno scriptino "denyhost" che controlla i file di log, e non appena vede tentativi non riusciti d' accesso superiori al valore da voi impostato banna l' ip dal quale provengono per un periodo di tempo da voi scelto, mettendo fine al tentativo di attacco.

Cio' ha una sola controindicazione, se dall' esterno tentate di entrare in ssh sul vostro server non vi potete permettere di sbagliare l' autenticazione se no vi banna!!!!!! (mi e' capitato , specie sotto linux dove il comando ssh nomeserver invia in automatico il nome utente locale come username, e magari tale nomeutente e' diverso da quello che voi avete usato sulla vostra macchina, e vi siete dimenticati di specificarlo col parametro -l nomeutente!!!!)

 
Vai all'inizio della pagina