Il mail server completo e flessibile progettato per le PMI

Abilitare il rilevamento hijack per rilevare gli account compromessi

KB51683

Ultimo aggiornamento: 01 December 2014

MDaemon - Rilevamento hijack

14.5.2

Scopo

La funzionalità Rilevamento hijack permette di monitorare il traffico di email generato in uscita da ciascun account di MDaemon, con la possibilità di bloccare in automatico gli account che inviano un numero di messaggi eccessivo in un determinato tempo. Questa funzionalità è utile per rilevare gli account compromessi (account a cui è stata hackerata la password), che possono essere utilizzati per veicolare SPAM, con il rischio di far finire il mail server in black list o di vederne ridotta la reputazione (è sufficiente “bucare” un solo account del mail server).

Dove si configura

Il rilevamento hijack di default è disabilitato. Per abilitarlo occorre andare in Sicurezza > Impostazioni di sicurezza > Vaglio > Rilevamento hijack e spuntare l’opzione “Gli account non possono inviare più di…” impostando un numero massimo (default 500) di messaggi tollerati in un determinato tempo (default 30 minuti).

 
Lasciare spuntata l’opzione “Blocca account al raggiungimento del limite” per disabilitare automaticamente l’eventuale account compromesso.

La lista bianca consente di configurare eventuali account che devono essere esenti da questo controllo, ad esempio account che inviano newsletter a molti destinatari; per mantenere un buon livello di sicurezza è opportuno che questi account abbiamo una password piuttosto robusta.

Nota:
Il rilevamento hijack account viene applicato solo agli account locali con una sessione autenticata e l'account Postmaster viene escluso automaticamente.

Come funziona

Con questa funzionalità abilitata, quando un account sfora il limite consentito riceve un errore da MDaemon, non riuscendo ad inviare il messaggio stesso; l’account viene disabilitato e il postmaster riceve una email di notifica. L'account bloccato non sarà più in grado di inviare o controllare la posta, ma MDaemon continuerà ad accettare la relativa posta in arrivo.

La prima cosa che può fare il postmaster è verificare se l’account è stato hackerato (presenza nei log di traffico anomalo proveniente dall’esterno a nome dell’account in oggetto), verificando poi se il traffico si interrompe cambiando la password dell’account.

Il postmaster può riabilitare l'account semplicemente rispondendo alla email di notifica ricevuta da MDaemon (senza andare nella gestione degli account).