Cliente disparando centenas de e-mails (vírus)

[NullRoute]

5 horas atrás, Maison disse:

Igual nosso amigo acima que comentou que usou ele e teve problemas com o Gmail aí você comentou "Você pode bloquear tudo e liberar apenas a rede do Gmail + Hotmail" você fez isso como colocando os blocos no firewall ou no próprio brute?

Mals a minha interpretação rs..
Eu adicionei os blocos junto ao cphulk, o cphulk só faz o bloqueio da autenticação e não qualquer outro tipo de bloqueio.
Quando senhas vazam e/ou são descobertas geralmente povo manda spam lá da casa do car*** ...

Desde que apliquei essas confs não tive mais nenhuma dor de cabeça e orientei aos meus clientes que quando forem viajar para o exterior me informem para que libere temporariamente.

 

Os blocos que eu deixo liberado são:

#GOOGLE

35.190.247.0-35.190.247.255
35.191.0.0-35.191.255.255
64.233.160.0-64.233.191.255
66.102.0.0-66.102.15.255
66.249.80.0-66.249.95.255
72.14.192.0-72.14.255.255
74.125.0.0-74.125.255.255
108.177.8.0-108.177.15.255
108.177.96.0-108.177.127.255
130.211.0.0-130.211.3.255
172.217.0.0-172.217.31.255
172.217.32.0-172.217.47.255
172.217.128.0-172.217.159.255
172.217.160.0-172.217.175.255
172.217.192.0-172.217.223.255
172.253.56.0-172.253.63.255
172.253.112.0-172.253.127.255
173.194.0.0-173.194.255.255
209.85.128.0-209.85.255.255
216.58.192.0-216.58.223.255
216.239.32.0-216.239.63.255

#OFFICE365/OUTLOOK
52.96.0.0-52.99.255.255

Só copiar (os blocos) e jogar lá no cphulk e ser feliz.

 

[Visitante]

1 hora atrás, owsbr disse:

Mals a minha interpretação rs..
Eu adicionei os blocos junto ao cphulk, o cphulk só faz o bloqueio da autenticação e não qualquer outro tipo de bloqueio.
Quando senhas vazam e/ou são descobertas geralmente povo manda spam lá da casa do car*** ...

Desde que apliquei essas confs não tive mais nenhuma dor de cabeça e orientei aos meus clientes que quando forem viajar para o exterior me informem para que libere temporariamente.

 

Os blocos que eu deixo liberado são:

#GOOGLE

35.190.247.0-35.190.247.255
35.191.0.0-35.191.255.255
64.233.160.0-64.233.191.255
66.102.0.0-66.102.15.255
66.249.80.0-66.249.95.255
72.14.192.0-72.14.255.255
74.125.0.0-74.125.255.255
108.177.8.0-108.177.15.255
108.177.96.0-108.177.127.255
130.211.0.0-130.211.3.255
172.217.0.0-172.217.31.255
172.217.32.0-172.217.47.255
172.217.128.0-172.217.159.255
172.217.160.0-172.217.175.255
172.217.192.0-172.217.223.255
172.253.56.0-172.253.63.255
172.253.112.0-172.253.127.255
173.194.0.0-173.194.255.255
209.85.128.0-209.85.255.255
216.58.192.0-216.58.223.255
216.239.32.0-216.239.63.255

#OFFICE365/OUTLOOK
52.96.0.0-52.99.255.255

Só copiar (os blocos) e jogar lá no cphulk e ser feliz.

 

Essa lista é atualizada ou tem os links onde tem sempre os Ip novos?

Outra coisa eu vi que no Brasil você mandou colocar como não especificado no brute ao invés de na listra branca o que muda nisso?

[NullRoute]

1 hora atrás, Maison disse:

Essa lista é atualizada ou tem os links onde tem sempre os Ip novos?

Outra coisa eu vi que no Brasil você mandou colocar como não especificado no brute ao invés de na listra branca o que muda nisso?

Essa lista eu construi nos últimos 3 meses rs.. 
Não achei ela já pronta na internet (nem busquei direito).

A diferença entre não especificado e whitelist é que Não especificado ele ainda realiza alguns bloqueios de autenticação baseado em quantidade de requisições/post/get ..Já o Whitelist é a casa da mãe joana, nego pode fazer o que quer que não será barrado nunca.

[ABREU]

Em 07/07/2022 em 17:11, apogeu disse:

Boa tarde turma! 

Tenho clientes de hospedagem (cPanel) que estão com problemas de disparo indevido de e-mail.
A conta de e-mail destes clientes estão disparando centenas de e-mails, já mudamos a senha do e-mail (em outros casos resolveu o problema) porém o problema persiste. Este problema ocorre com cliente usando Microsoft Outlook e outro usando o Mozilla Thunderbird. 

Quando vejo o log no whm vejo que os destinatários são endereços estranhos e neste caso não deixa rastro na pasta de itens enviados.
Ps.: estes disparos não estão sendo feito por algum script instalado na public_html, pois nesta pasta só tem um index (limpo) que chama uma imagem jpg.  

uma pequena amostra dos destinatários: 
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

Alguém já passou por coisa parecida? e pode me dar uma luz de como resolver?

Desde já agradeço. obrigado.

Cristiano

 

Prezado amigo,

Faz um teste de autenticação de segurança do seu servidor de emails e verifique se todos os protocolos de segurança estao autenticados corretamente, a nic.br e sgi.br que regulamenta a internet no Brasil incentiva esta pratica de segurança e tem o site deles que ajuda a verificar se seu servidor de e-mails  está seguindo os padrões técnicos internacionais mais modernos.

Basta acessar o site do NIC.BR ( link abaixo ) e realizar o teste digitando o dominio do seu servidor de e-mails onde o sistema fara a leitura de todos os protocolos de segurança, e depois so analisar e ajustar ate atingir a pontuação maxima internacional 100%, depois disto seus clientes nao tera mias problemas em enviar e nem receber e-mails, sem dizer a segurança do seu servidor e ainda os spam e ataques de phising serão eliminado.

Link do site para autenticaçaõ:

https://top.nic.br/

 

abraços e boa sorte.