È un rischio per la sicurezza, mancanza di conoscenza per azioni reattive, quando la posta abusiva viene rifiutata?

1

Quando si ispeziona la configurazione DNS, ad esempio con dnsinspect.com , a volte compare quanto segue (nota che ho usato example.com ):

Accetta l'indirizzo di abuso

WARNING: Found mail servers which are not accepting emails to [email protected] address: 

primary.mail.example.com

>> MAIL FROM: <[email protected]>
<< 250 OK
>> RCPT TO: <[email protected]>
<< 550 5.1.1 User unknown

fallback.mail.example.com

>> MAIL FROM: <[email protected]>
<< 250 OK
>> RCPT TO: <[email protected]>
<< 550 5.1.1 User unknown

Ora ho capito, se non puoi ricevere email di abuso, non sarai in grado di ricevere notifiche da parti esterne (eventualmente automaticamente con servizi come fail2ban ) perché non riceverai mai quelle email. In questo modo se il tuo server è infetto e per esempio è occupato a forzare un server innocente che sta cercando disperatamente di avvisare il proprietario del server infetto, il proprietario del server infetto non riceverà mai la notifica.

Questo è considerato un rischio per la sicurezza in generale, in termini di disabilità da rilevare e reagire in tal caso?

In altre parole, sto cercando un modo per rilevare l'abuso dei miei server, nel caso uno sia compromesso. Capisco che solo aspettare che altri server inizino a inviare messaggi di abuso non sarà sufficiente ed è reattivo mentre preferiresti un metodo proattivo. Ma sarà sicuramente di aiuto nel caso in cui altre misure (proattive) come il rilevamento dei rootkit, ecc. Non siano riuscite. Ora, mi chiedo se "non essere in grado di ricevere tali email di abuso" in caso di server compromesso sia un rischio (leggi, forse non rilevando che il tuo server è compromesso)?

    
posta Bob Ortiz 28.06.2016 - 17:09
fonte

1 risposta

1

Esistono numerosi indirizzi standard alternativi che potrebbero funzionare. Ad esempio, [email protected], [email protected], [email protected] (elenco completo: link ).

Se fallisce, potresti cercare un modulo di contratto nel sito web ospitato sul dominio, se ce n'è uno.

Se non riesci a raggiungere nessuno di questi, potresti voler fare una query WHOIS e inviare l'email di abuso all'indirizzo email del dichiarante del nome di dominio. Anche se il dichiarante utilizza il servizio di privacy del dominio, il servizio di privacy in genere inoltrerà comunque l'email al proprietario del dominio reale o avrà altri modi per contattare il vero proprietario del dominio.

Se fallisce, potresti provare a utilizzare il database degli indirizzi di abuso di terze parti come link e vedere se hanno un indirizzo di abuso diverso elencato lì.

Se ciò non riesce, è possibile ottenere l'indirizzo IP del sistema abusivo e invertire la ricerca dell'indirizzo IP per ottenere l'ISP per tale IP Addreas. Puoi invece notificare l'indirizzo di contatto dell'abuso dell'ISP. Gli ISP di solito sono più reattivi a questo tipo di richieste rispetto ai singoli proprietari di domini. La maggior parte degli ISP non vuole abusatori nella propria rete, tanto quanto non si vuole che abusino dei propri. Gli ISP rispettabili tentano in genere di contattare il cliente, indagare sull'abuso e, se ritengono che il reclamo abbia un caso e l'abuso non cessi, possono, a loro discrezione, chiudere o filtrare l'accesso a Internet del cliente.

La mancanza di indirizzi [email protected] non significa necessariamente che non si possa fare nulla sugli abusi. C'è un certo numero di alternative che puoi perseguire.

    
risposta data 29.06.2016 - 12:33
fonte

Leggi altre domande sui tag