Eu hospedo um servidor web voltado para o público rodando Debian Wheezy e versões mais recentes do Postfix, Apache, PHP, Spamassassin, ClamAV e rootkit hunter. O Apache é configurado com um punhado de vhosts, cada um vinculado a um usuário e protegido com suExec e Suhosin. Os sites executam o Wordpress e o ModX e pela lei das médias, dado o número de instalações neste servidor, pelo menos 20% dos sites terão, a qualquer momento, algum tipo de vulnerabilidade, seja do próprio CMS ou de um Plugins de data.
Tenho notificações do excelente site do MX Toolbox, que monitora endereços IP contra mais de 100 listas negras.
Quando souber que meu endereço IP foi novamente adicionado a uma lista negra , eu ssh imediatamente, pause o postfix
postfix stop
aguarde alguns segundos, veja a fila de mensagens
mailq
e a partir disso eu posso dizer imediatamente ao usuário / vhost do spam porque todos os emails vêm de "[email protected]", onde "mywebsite.com" é o domínio hospedado no vhost que causou o problema .
Em seguida, executo uma varredura de detecção de malware manual usando a excelente maldet, e o problema desaparece. Se eu corrigir todos os plugins e softwares conhecidos no site, o problema desaparece por c.6 meses. Se eu não voltar dentro de uma semana.
Para fins de teste, deixei o Postfix parado por meses a fio, mas alguns trojans aparentemente ignoram o servidor de e-mail e enviam e-mails diretamente. (Eu sei disso por meio do monitoramento de recursos do servidor, da lista negra de relógios e do envio de e-mails de spam para o meu domínio. Sem mencionar que o mailf do Postfix é preenchido com, por exemplo, 65.000 mensagens não enviadas.)
Como eu me preocupo mais com a autenticidade de e-mails do que com a possibilidade de enviar e-mails por meio de sites que hospedei, tomei uma série de etapas, garantindo que meus registros SPF de cada domínio não reconheçam meu próprio servidor como uma fonte autorizada de e-mail para esse domínio. No mínimo, isso significa que meus nomes de domínio não estão sendo automaticamente colocados na lista negra.
Minha pergunta. Existe uma maneira inteligente de simplesmente bloquear todos os emails enviados usando o IPTABLES? Eu não me refiro apenas ao bloqueio de e-mails enviados usando o servidor de e-mail Postfix, mas todo o tráfego que poderia acabar com o meu servidor sendo colocado na lista negra?
Até que eu encontre outras maneiras de resolver este problema, não me importo de impedir que os sites enviem emails. Isso NÃO é ideal, pois uso alguns para gerar meu próprio negócio, mas posso encontrar outras soluções nesse meio tempo.