Knowledge Base

L'archivio documentale di supporto ai prodotti Achab.

KB51683 MDaemon - Rilevamento hijack

Ultimo aggiornamento: 01/12/2014
Articolo valido per MDaemon versione: 14.5.2

Abilitare il rilevamento hijack per rilevare gli account compromessi

Scopo

La funzionalità Rilevamento hijack permette di monitorare il traffico di email generato in uscita da ciascun account di MDaemon, con la possibilità di bloccare in automatico gli account che inviano un numero di messaggi eccessivo in un determinato tempo. Questa funzionalità è utile per rilevare gli account compromessi (account a cui è stata hackerata la password), che possono essere utilizzati per veicolare SPAM, con il rischio di far finire il mail server in black list o di vederne ridotta la reputazione (è sufficiente “bucare” un solo account del mail server).

Dove si configura

Il rilevamento hijack di default è disabilitato. Per abilitarlo occorre andare in Sicurezza > Impostazioni di sicurezza > Vaglio > Rilevamento hijack e spuntare l’opzione “Gli account non possono inviare più di…” impostando un numero massimo (default 500) di messaggi tollerati in un determinato tempo (default 30 minuti).



 
Lasciare spuntata l’opzione “Blocca account al raggiungimento del limite” per disabilitare automaticamente l’eventuale account compromesso.

La lista bianca consente di configurare eventuali account che devono essere esenti da questo controllo, ad esempio account che inviano newsletter a molti destinatari; per mantenere un buon livello di sicurezza è opportuno che questi account abbiamo una password piuttosto robusta.

Nota:
Il rilevamento hijack account viene applicato solo agli account locali con una sessione autenticata e l'account Postmaster viene escluso automaticamente.

Come funziona

Con questa funzionalità abilitata, quando un account sfora il limite consentito riceve un errore da MDaemon, non riuscendo ad inviare il messaggio stesso; l’account viene disabilitato e il postmaster riceve una email di notifica. L'account bloccato non sarà più in grado di inviare o controllare la posta, ma MDaemon continuerà ad accettare la relativa posta in arrivo.

La prima cosa che può fare il postmaster è verificare se l’account è stato hackerato (presenza nei log di traffico anomalo proveniente dall’esterno a nome dell’account in oggetto), verificando poi se il traffico si interrompe cambiando la password dell’account.

Il postmaster può riabilitare l'account semplicemente rispondendo alla email di notifica ricevuta da MDaemon (senza andare nella gestione degli account).

Questo articolo ti è stato utile?

Lasciaci un feedback

Hai trovato delle inesattezze, vorresti fare delle integrazioni all'articolo o anche solo darci un tuo parere? Scrivici liberamente utilizzando il modulo sottostante.

 

Le tue informazioni non verranno pubblicate, ma inviate privatamente al responsabile della Knowledge Base.