Quando si ispeziona la configurazione DNS, ad esempio con dnsinspect.com , a volte compare quanto segue (nota che ho usato example.com
):
Accetta l'indirizzo di abuso
WARNING: Found mail servers which are not accepting emails to [email protected] address:
primary.mail.example.com
>> MAIL FROM: <[email protected]>
<< 250 OK
>> RCPT TO: <[email protected]>
<< 550 5.1.1 User unknown
fallback.mail.example.com
>> MAIL FROM: <[email protected]>
<< 250 OK
>> RCPT TO: <[email protected]>
<< 550 5.1.1 User unknown
Ora ho capito, se non puoi ricevere email di abuso, non sarai in grado di ricevere notifiche da parti esterne (eventualmente automaticamente con servizi come fail2ban
) perché non riceverai mai quelle email. In questo modo se il tuo server è infetto e per esempio è occupato a forzare un server innocente che sta cercando disperatamente di avvisare il proprietario del server infetto, il proprietario del server infetto non riceverà mai la notifica.
Questo è considerato un rischio per la sicurezza in generale, in termini di disabilità da rilevare e reagire in tal caso?
In altre parole, sto cercando un modo per rilevare l'abuso dei miei server, nel caso uno sia compromesso. Capisco che solo aspettare che altri server inizino a inviare messaggi di abuso non sarà sufficiente ed è reattivo mentre preferiresti un metodo proattivo. Ma sarà sicuramente di aiuto nel caso in cui altre misure (proattive) come il rilevamento dei rootkit, ecc. Non siano riuscite. Ora, mi chiedo se "non essere in grado di ricevere tali email di abuso" in caso di server compromesso sia un rischio (leggi, forse non rilevando che il tuo server è compromesso)?