"Relay", "Script Alert", "AUTHRELAY", "LOCALRELAY" e SPAM

[eloimarquessilva]

Colegas,

estou com a seguinte duvida sobre "Relay", "Script Alert", "AUTHRELAY", "LOCALRELAY" e SPAM:

 

Recentemente um cliente teve o site "invadido" (o que, ainda bem, é pouco comum conosco) e recebi o alerta LOCALRELAY e na sequencia um "Script Alert" com o path do script "malvado".

 

"Script Alert":

 

Para o "Script Alert" sei que o CSF dispõem da opção para "bloquear" o script via chmod mas recomenda cuidado com esta opção pois pode ferrar com o SO.

 

LOCALRELAY:

 

Sobre o "LOCALRELAY" o CSF ou cPanel não tem nenhuma opção de bloqueio automático, apenas o alerta.

 

"AUTHRELAY":

 

Por fim, ja algum tempo eu percebi (da pior forma possível) que o limite de envio de e-mails por hora (do cPanel) não funciona para mensagens "relay" (retransmitidas) ou seja se o domínio tem um limite de 300 mensagens por hora e o cara mandar 100 mensagens (cada uma) com copia (cc, bcc etc) para outros 100 e-mails vai sair do seu servidor ao todo 10.000 sem que o usuário seja bloqueado pelo cPanel por exceder o limite de 300 mensagens por hora. Neste caso é possível ativar o bloqueio "AUTHRELAY" do CSF e/ou limitar o "Maximum message recipients" soft ou hard (quando abaixo de 100 "fere" a RFCs) pelo cPanel (exim)

 

Gostaria de saber como vocês lidam com estes tipos de problemas. Qual tipo de configuração do CSF, Exim e cPanel vocês aplicam aos seus servidores para limitar ao máximo o envio de spam (autenticado ou por scripts maliciosos) e como é a rotina de monitoramento de vocês quanto a isso.

 

Desde já agradeço.

[Luciana Mattos]

A minha solução foi um pouco diferente.

 

Eu aceitava PayPal como forma de pagamento, logo atraia umas contas que efetuava assinatura apenas para envio de spam, o sujeito pagava com um cartão clonado, o serviço era liberado e ele começava a disparar spam. Mesmo que você identifique 10min depois, ele já enviou um número alto de emails que provavelmente vai mandar o IP para alguma blacklist.

Solução: Desativei o PayPal, apenas os clientes antigos podem fazer pagamento pelo mesmo

 

Outra coisa que acontecia era clientes com contas invadidas, a solução para esse caso foi configurar os servidores com php no safe_mode, restringir o uso de php.ini e desativar funções como:

symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode,

Uma vez ou outra mandamos e-mails aos clientes com dicas de segurança, para os que tenham CMS, que mantenham sempre atualizados, etc, etc.

 

Com isso o número de invasões diminuiu bastante, diminuindo as contas disparando spam.

 

bloquear o php.ini, ativar o safe_mode e desabilitar as funções acima deram um bom resultado, pois toda vez que o cliente tinha uma conta invadida, a gente pegava o arquivo que o invasor utilizou e estudávamos eles, testes com configurações diferentes, etc. Não adianta apenas ligar o safe_mode, pois ele pode criar um php.ini e desabilitar o safe_mode para aquela conta.

 

Para proteger conta upload de arquivos suspeitos pelo cPanel usamos o ClamAV, além do maldet para fazer varreduras diarias nas contas.

[Alexandre Duran]

A minha solução foi um pouco diferente.

 

Eu aceitava PayPal como forma de pagamento, logo atraia umas contas que efetuava assinatura apenas para envio de spam, o sujeito pagava com um cartão clonado, o serviço era liberado e ele começava a disparar spam. Mesmo que você identifique 10min depois, ele já enviou um número alto de emails que provavelmente vai mandar o IP para alguma blacklist.

Solução: Desativei o PayPal, apenas os clientes antigos podem fazer pagamento pelo mesmo

 

Outra coisa que acontecia era clientes com contas invadidas, a solução para esse caso foi configurar os servidores com php no safe_mode, restringir o uso de php.ini e desativar funções como:

symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode,

Uma vez ou outra mandamos e-mails aos clientes com dicas de segurança, para os que tenham CMS, que mantenham sempre atualizados, etc, etc.

 

Com isso o número de invasões diminuiu bastante, diminuindo as contas disparando spam.

 

bloquear o php.ini, ativar o safe_mode e desabilitar as funções acima deram um bom resultado, pois toda vez que o cliente tinha uma conta invadida, a gente pegava o arquivo que o invasor utilizou e estudávamos eles, testes com configurações diferentes, etc. Não adianta apenas ligar o safe_mode, pois ele pode criar um php.ini e desabilitar o safe_mode para aquela conta.

 

Para proteger conta upload de arquivos suspeitos pelo cPanel usamos o ClamAV, além do maldet para fazer varreduras diarias nas contas.

 

Luciana eu te sugiro usar o cloudlinux com o cagefs, além dos itens acima.

[MyWay Hosting]

Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay

Além disso você pode fazer com que o servidor lhe envie para seu celular um alerta de uso de Relay e então você suspende a conta, se necessário.

Quando o firewall bloquear o IP, o spammer pode tentar conectar a partir de outro IP para enviar mais emails portanto você deve fazer com que receba alertas em seu celular afim de bloquear a conta nestes casos. Spammers comuns que enviam a partir de um só IP, desistem quando tem o Ip bloqueado via CSF.

Abraços !

[Jorge Marcelino]

Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay

Além disso você pode fazer com que o servidor lhe envie para seu celular um alerta de uso de Relay e então você suspende a conta, se necessário.

Quando o firewall bloquear o IP, o spammer pode tentar conectar a partir de outro IP para enviar mais emails portanto você deve fazer com que receba alertas em seu celular afim de bloquear a conta nestes casos. Spammers comuns que enviam a partir de um só IP, desistem quando tem o Ip bloqueado via CSF.

Abraços !

 

 

Marcelo, como faz isso? "Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay"  estou com o mesmo problema que nosso amigo .

[MyWay Hosting]

Marcelo, como faz isso? "Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay"  estou com o mesmo problema que nosso amigo .

Oi Jorge

 

pode estar havendo o envio de 2 formas. Como você percebeu, isso é envio com autenticação smtp

 

1) Algum script que teu cliente usa e que conecte ao email com senha para envio de emails. Então esse script tem falhas de segurança e um spammer usa para enviar emais. 

 

2) Algum cliente enviando emails em massa ou email hackeado.

 

Na sua grande maioria é envio por email hackeado ( senha de email ) e em 95% dos casos por ips internacionais.

 

Usando o hulk você pode bloquear o acesso ao smtp para ips estrangeiros e isso irá barrar esse problema

 

Já se é um cliente enviando emails em massa ou então algum script com autenticação smtp sendo usado por spammer, o ip é nacional ou então o ip do servidor caso seja o script. 

 

Para estes casos você apenas suspende a conta.

 

Em relação ao firewall, eu configurei para que emails do CSF sejam encaminhados para um email da empresa onde quem trabalha recebe a notificação. Neste caso basta ver o conteúdo do email e suspender a conta. Eu inclusive configurei meu smartphone para receber uma cópia. 

 

Eu uso o redirecionamento por palavras chaves de emails recebidos e recebo cópia dos emails mais importantes enviados pelo CSF.

 

Esse link abaixo informa como bloquear as portas para ips internacionais e o hulk também protege a smtp ( antigamente não afetava o smtp mas hoje em dia sim ).

 

 

Se vc estiver usando o cpanel muito antigo então isso não irá proteger o smtp.

 

Abraços !

[MyWay Hosting]

Olá Jorge

 

para completar. A opção no firewall que bloqueia o ip que usa smtp autenticado para enviar emails em massa é

 

RT_AUTHRELAY_LIMIT =