Account di posta elettronica "hackerato"; devo rigenerare il _domainkey DKIM del mio server?

Naviga le tue risposte
2

Sto solo imparando a conoscere DMARC (DKIM / SPF), quindi mi scuso se la mia domanda non ha senso.

Pochi giorni dopo aver installato un criterio DMARC sul mio server ho notato che i report di yahoo.com contenevano migliaia di mandate "validate" dall'IP del mio server di posta. Ho ricevuto anche un'email dal mio host VPS che diceva che uno degli account di posta elettronica era compromesso. Ho reimpostato la password su quell'account e-mail, ma un giorno dopo ho ricevuto un altro rapporto da yahoo.com che mostra ancora migliaia di e-mail valide inviate.

La domanda che ho è ... devo rigenerare una nuova _domainkey sul mio server una volta risolti i problemi con l'account "compromesso"?

    
posta JakeTheSnake 17.09.2014 - 01:47
fonte

3 risposte

0

Un account email compromesso non implica automaticamente che il tuo server di posta sia stato compromesso (infatti, statisticamente, non lo è).

A meno che gli account di posta non utilizzino credenziali riutilizzate come account reale sul sistema, l'integrità del server non è compromessa a priori.

Se vuoi un'analogia, è come chiedere se hai bisogno di cambiare le serrature delle porte di casa dopo che qualcuno ha rubato la tua auto: a meno che non abbiate lasciato le chiavi di casa in macchina, non è necessario.

Potresti, tuttavia, voler fare un esame dei log del tuo server per vedere in che modo quell'account è stato compromesso e controllare l'integrità del tuo sistema, nel caso in cui l'hacker sia entrato più in profondità di quanto pensassi.

    
risposta data 17.09.2014 - 09:17
fonte
1

Per i posteri aggiungerò la mia risposta per illustrare la procedura che ho seguito.

Passaggio 1) Scopri quali account stanno inviando spam

  • Accedi a WHM e vai a "Mail Queue Manager". Effettua ricerche e visualizza le e-mail per vedere quali account sono responsabili. Se per qualche motivo non hai accesso a WHM, chatta con il tuo host web per ottenere queste informazioni.

Passaggio 2) Cambia password

  • Accedi a cPanel e modifica le credenziali di accesso per gli account interessati. Gli interessati devono essere avvisati telefonicamente o di persona delle nuove password.

Passaggio 3) Rimuovi i messaggi di spam backlog non ancora inviati

  • Inizialmente avevo appena cambiato le password di posta elettronica, ma continuavo a ricevere notifiche di consegne non riuscite, quindi ho pensato che "qualcosa stava ancora inviando email". Si scopre che c'è stato un arretrato di quattro giorni con messaggi di spam che non erano ancora stati inviati. Torna al gestore code di posta ed elimina i messaggi spam.

Passaggio 4) Esegui scansioni antivirus / antimalware

  • Esegui su tutti i potenziali punti di accesso ... i PC utente e lo stesso server di posta.
  • Per il server di posta, sono su CentOS in modo da poter installare maldetect .
  • Per PC / workstation personali, se trovi i keylogger, assicurati di cambiare nuovamente la password dell'account e-mail dopo aver rimosso il logger.

Passaggio 5) Tieni d'occhio la coda di posta

  • Poiché la posta spam è stata generata in grandi quantità, controlla la coda di posta per vedere se vengono generate ancora molte email (questo potrebbe essere difficile se hai molti utenti).

Apprezzerei qualsiasi suggerimento aggiuntivo che potrei aver perso.

    
risposta data 18.09.2014 - 16:58
fonte
-1

Sì, dovresti rigenerare la tua coppia di chiavi DKIM in quanto potrebbe essere stata compromessa. Un attacco è in grado di falsificare con successo le mail dal tuo host. Potresti anche voler impostare SPF se l'attacco sta inviando email da un host che non ti appartiene.

    
risposta data 17.09.2014 - 02:08
fonte

Leggi altre domande sui tag

Ping La casella di input sul server Web è vulnerabile ai comandi di piping? Come si possono proteggere i cookie di Exchange 2010? [chiuso]