Ataque NDR

Ataque NDR

Hace unos dias que estoy recibiendo un ataque NDR inverso, este ataque consiste en suplantar la dirección del emisor y enviar correos a los destinatarios.

 

Existe alguna manera de detectar/identificar este asaltante ?

 

Actualmente trabajo con un exchange 2003

 

Gracias y saludos

Etiquetas (2)
Mensaje 1 de 18
2.880 Visitas
17 RESPUESTAS 17

¿Tienes el registro MX en las DNS de tu dominio? Google y Hotmail lo detectan con ese metodo 🙂

Mensaje 2 de 18
2.868 Visitas

Vale te he leido mal. Si, porque la primera cabecera que les llega a tus conocidos va una IP que es el ordenador emisor :). Luego ira pasando por diferentes maquinas.

 

¿Has pensando en cogerte un certificado digital para tus correos?

Mensaje 3 de 18
2.862 Visitas

Por ejemplo en un correo de la comunidad movistar a mi me llega esto:

 

DomainKey-Status: no signature
Received: (qmail 9384 invoked from network); 20 Jun 2011 11:49:02 +0200
Received: from smtp.lithium.com (208.74.204.5)
  by ns1.ev22.com with SMTP; 20 Jun 2011 11:49:02 +0200
Received: from pa11.sj.lithium.com (pa11.sj.lithium.com [10.20.110.47])
    by smtp.lithium.com (Postfix) with ESMTP id 4F8A0F00A0
    for <xxx@xxx.es>; Mon, 20 Jun 2011 02:49:01 -0700 (PDT)
X-DomainKeys: Sendmail DomainKeys Filter v1.0.2 smtp.lithium.com 4F8A0F00A0
From: Community Mailer <x@x.es>
To: fraarra <x@x.es>

 

He quitado las dos direccions ed correo, las que me llegan de comunidad Movistar y la mia propia pero como veras las maquinas registran las direcciones incluso aunque el servidor saliente no tenga un registro MX apuntando a comunidad movistar.

 

Porque el MX de Movistar esta en otra direccion IP.

 

Mensaje 4 de 18
2.860 Visitas

Hola erailes:

 

Para poder identificar al atacante necesitamos que nos envíes, a través de un mensaje privado, las cabeceras de los correos y, en caso de poder hacerlo, nosotros nos encargamos de informarle de que debe cesar en su actividad.

 

Un saludo


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 5 de 18
2.852 Visitas

Muy buena Nacho :). ¿Le vais a bloquear el puerto 25? Yo me pensaria ademas de bloquear el 25, el 465 que es el que usa google para correo seguro por SMTP.

 

Lo dejo como anecdota constructiva.

 

Un saludo

 

P.D.: Por cierto me ha encantado lo del ataque NDR inverso que es como Microsoft llama a hacer Email spoofing en sus servidores Exchange. Tiene nombre para todo aunque el resto usemos otros 🙂

Mensaje 6 de 18
2.846 Visitas

Gracias Nacho,

 

Me resulta imposible mostrarte un análisis de los correos que envian.

Mi duda ahora es, si instalo un certificado de autentificación se terminarian mis problemas?


Mucha gracias

Mensaje 7 de 18
2.822 Visitas

erailes escribió:

Gracias Nacho,

 

Me resulta imposible mostrarte un análisis de los correos que envian.

Mi duda ahora es, si instalo un certificado de autentificación se terminarian mis problemas?


Mucha gracias


Como no vas a poder mostrarle un analisis de los correos que envian. Quien los recibe "suplantandote" puede enviarte esas cabeceras.

 

Si instalas un certificado digital y tus clientes usan un programa de mensajeria y no usan webmail (incluido el Outlook Web que viene con el Exchange) si sirve porque es una entidad externa la que verifica que ese correo lo has enviado tu 🙂

 

No se puede suplantar un certificado digital por otro basicamente porque la empresa que lo emite lo rechazaria automaticamente.

 

Si usan el correo de hotmail, de gmail y demas para verlo, no serviria de nada puesto que los correos web no saben interpretar dicho certificado.

Mensaje 8 de 18
2.820 Visitas

Pues la verdad es que no puedo saber quien recibe los correos porque unicamente veo los correos devueltos o que estan en la cola del correo.

La implantación de un certificado digital creado por mi mismo serviria?

 

Gracias!!

Mensaje 9 de 18
2.816 Visitas

erailes escribió:

 

La implantación de un certificado digital creado por mi mismo serviria?

 

Gracias!!


En tu propio ordenador si. En el resto daria errores porque tu no eres una entidad certificadora raiz autorizada. De todas formas por lo que leo me dices que suplantan tu identidad y se envian a correos que no tienes tu bajo control porque te los devuelven desde postmaster.

 

Pero el correo devuelto viene con las cabeceras 🙂

Mensaje 10 de 18
2.812 Visitas

Tienes razón, he encontardo la cabezera de los correos.

Puedes decirme la dirección de correo para contactar con Nemesys? Antes era la de nemesys@telefonica.net ...

Mensaje 11 de 18
2.806 Visitas

Envia el mensaje privado a Nacho-Movistar que es un tecnico del foro. Aunque solo esta hasta las 22.00 mañana te lo mira y te da una solucion, seguro 🙂

Mensaje 12 de 18
2.803 Visitas
 
Mensaje 13 de 18
2.800 Visitas

Hola de nuevo erailes:

 

Al analizar detenidamente las cabeceras que nos has enviado, observamos que hay 2 problemas: por un lado, estás siendo víctima de lo que se llama Backscatter, que es un método por el cual, los spammer, envían correos no deseados a terceros, falseando las cabeceras del correo y utilizando una configuración de tu servidor de correo; y por otro, estás siendo víctima de un spoofing, para evitarlo puedes configurar el registro SPF de tu servidor. P

 

Por todo esto te recomendamos que revises la configuración de tu servidor de correo para que cuando detecte un spam o virus, lo elimine automáticamente en vez de rechazarlo para evitar alimentar el proceso. Te pongo unos links dónde puedes encontrar utilidades para solucionar el problema.

 

http://www.postfix.org/BACKSCATTER_README.html

 

 http://spamlinks.net/prevent-secure-backscatter.htm

 

http://technet.microsoft.com/en-us/library/aa995992%28EXCHG.65%29.aspx

 

 y muchos mas a través de cualquier buscador

 

Por otro lado, te informo que no está cortado el puerto 25 ni tampoco está incluida en ninguna lista negra ni la IP ni el número de teléfono que nos has proporcionado.

 

Saludos


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 14 de 18
2.770 Visitas

Lo bueno es lo de Sender ID en el articulo de Exchange 2003, porque es uno de los protocolos utilizados por muchos servidores de correo para autentificar un correo seguro sin certificado.

 

El otro es Domain Keys (que no es de Microsoft y lo utilizan mas empresas). Pero si te estan haciendo mail spoofing, van a poder seguirte haciendolo al no ser que se bloqueen las IPs desde donde se realiza.

Mensaje 15 de 18
2.766 Visitas

Buenos dias,

 

Necesito, urgentemente, que me abran de nuevo el puerto 25. Saben perfectamente que el problema no es nuestro y son los ataques de otro usuarios los que provocan esta correiente de spam.

 

Por favor, abran nuestro el puerto 25.

 

Saludos

Mensaje 16 de 18
2.748 Visitas

Hola erailes:

 

Tal y como te dijimos ayer, sí es un problema vuestro, ya que es debido a la configuración del servidor de correo. Además te puse unos links dónde puedes encontrar información para configurarlo correctamente. También te recomendamos que revises los equipos por si tuvieras algún tipo de infección, ya que hoy sí se ha bloqueado el puerto 25 debido a las denuncias de Spam que hemos recibido. No obstante, ya lo hemos desbloquado como te ha informado Lara.

 

Saludos


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 17 de 18
2.738 Visitas

Te doy otra idea. ¿Y si deshabilitas la opcion de Relay al no ser que autentifiquen con SMTP? Con esta opcion todos los clientes de correo dan error 550 Relay not Allowed y no se puede enviar correos a otras direcciones que no sean las de tu propio dominio. Piensa que esta opcion es muy facil de configurar en un cliente de correo (es un click) y sin embargo los que envian correo a traves de tu servidor tienen que autentificarse y no es facil 🙂 (al no ser que tengas un servidor LDAP abierto como Active Directory a todo Internet)

 

Por ejemplo las cuentas de Movistar tienen eso. Si no autentifcas por SMTP solo puedes mandar mensajes a cuentas movistar.es. Si te autentificas entonces ya podras enviar a todos.

 

Y otra cosa. Tu red tiene asignada un rango de IPs. Porque no permites solo el paso de dichas IPs para el envio de correo. Para la recepcion permites a todas que tengan un registro MX (eso Microsoft lo llama Sender ID)

 

Te paso info por si te interesa:

http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx

Mensaje 18 de 18
2.732 Visitas