Connect. Communicate. Collaborate. Securely.

Domů » Česky » Kerio Connect » Prosím o pomoc - DoS útok?
  •  
petrpol je nyní offline petrpol

Příspěvky: 4
Odeslat poštu tomuto uživateli
[img]./fa/289/0/[/img]Dobrý den,

prosím o pomoc. Včera po 11 hodině (není asi důležité) se zvýšil SMTP provoz přes KMS 8.5. Jednalo se o zprávy zvenku s falešnou vygenerovanou adresou příjemce i odesilatele. Nevím, zda se některým zprávám podařilo opustit KMS. Odesílání mimo doménu mohou jen lokální IP adresy a ověření uživatelé na SMTP.
KMS je až za firewallem (kerio), kde jsme museli po poslední aktualizaci firewallu změnit pravidlo pro port 25 směrující SMTP provoz zvenku na server KMS. K mapování na cílový server se musel zapnout i NAT! To proběhlo před dvěma dny.
Možná i proto se SMTP komunikace přes firewall označovala IP adresou lokálního adaptéru firewallu. Tím pádem byla SMTP serverem zpracována a zařazena do fronty.

Změnil jsem nastavení řízení přístupu SMTP tak, aby odesílání mimo doménu nebylo povoleno pro lokální IP adresu firewallu. Útočné maily se už nedostanou do fronty, ale jsou "odrazeny". Plní tak log Security ve velkém. Viz příloha.




Byl by nějaký nápad, co s tím dělat?

Děkuji za odpovědi.

Petr P.

  •  
Petr Dobrý (Kerio) je nyní offline Petr Dobrý (Kerio)

Příspěvky: 423

Odeslat poštu tomuto uživateli
Zapnout u mapovaciho pravidla i NAT je velmi nestastne reseni. Pak jsou vsechny prichozi pozadavky z lokalni adresy firewallu a jednak nefunguji DNS blacklisty, druhak nemuzete pouzit SMTP security nastaveni a adresu zablokovat a do tretice pokud je povolene odesilani z lokalnich adres, tak si vyrobite open-relay server.

Jaky byl duvod zapnout NAT pro to pravidlo ?

Reseni je NAT vypnout a nechat KMS blokovat pkusy o SMTP odesilani a fungovat DNS blacklisty. S plnenim security logu nic neudelate.

Technická podpora je na adrese http://support.kerio.cz
  •  
Pavel Dobrý (Kerio) je nyní offline Pavel Dobrý (Kerio)

Příspěvky: 1536
Odeslat poštu tomuto uživateli
Ano. Nedělejte SNAT pro SMTP spojení z Internetu. Nejenom že si takto otevřete open relay, ale nahrazením IP adresy odesílatele také vyřadíte antispamové ochrany jako DNS blacklisty, auto-whitelisty, SPF atd.

Databáze znalostí: http://kb.kerio.com/
Technická podpora: http://www.kerio.cz/cz/support
  •  
petrpol je nyní offline petrpol

Příspěvky: 4
Odeslat poštu tomuto uživateli
Omlouvám se, vlákno tak patří asi do Kerio Control ...

NAT jsme k mapování portu 25 přidali spíše pokusně. Po posledním update Kerio Control nám přestaly chodit maily (z venku přes FW).
Tušil jsem, že průšvih bude tady. V tom případě nevím, jak nastavit Kerio Control, aby jim procházely maily na port 25 vnitřního KMS.

Pravidlo viz příloha.

Zatím děkuji
pp

  •  
petrpol je nyní offline petrpol

Příspěvky: 4
Odeslat poštu tomuto uživateli
V příloze je pravidlo, které do nedávna fungovalo.
  •  
Petr Dobrý (Kerio) je nyní offline Petr Dobrý (Kerio)

Příspěvky: 423

Odeslat poštu tomuto uživateli
Upgradujte na Control 8.6.0 patch 1 kde je prave tento problem s mapovanim odstranen.

A vypnete zase ten NAT.

Technická podpora je na adrese http://support.kerio.cz
  •  
petrpol je nyní offline petrpol

Příspěvky: 4
Odeslat poštu tomuto uživateli
Ano, update to vyresil ...

Dekuji moc za pomoc.

petr polasek
Předchozí téma: Authentication failed
Další téma: Vydán Kerio Connect 8.5.1
Jít na fórum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Aktuální čas: Ne bře 26 16:56:07 CEST 2017

Celkový čas potřebný k vygenerování této stránky: 0.01190 vteřin
.:: Kontakt :: Domů ::.
Běží na: FUDforum 3.0.4.