Provate a scorrere il log SMTP(entrata) di MDaemon; potrebbe sorprendervi la quantità di sessioni che terminano con un errore di autenticazione. Non si tratta di utenti di MDaemon che digitano male la password, bensì di tentativi da parte di male-intenzionati che tentano di accedere e usare i servizi di MDaemon per i loro scopi.
L’esempio che segue mostra una sessione SMTP proviene da un IP ucraino (91.200.12.11) con un tentativo (fallito) di indovinare le credenziali di autenticazione di uno degli account locali:
La finalità di questa attività sono molteplici:
- Carpire la password di un account valido per poi utilizzarlo come veicolo per il relay della propria posta.
- Consegnare SPAM a utenti locali spacciandosi per un “collega”.
- Attacco DOS (nel caso di moltissime sessioni ravvicinate).
L’esempio mostra anche che la controparte si presenta in modo generico ("EHLO User"), con un nome host che non esiste pubblicamente.
Questi tentativi possono essere contrastati con il vaglio host di MDaemon seguendo queste indicazioni.
Dopo aver seguito scrupolosamente queste indicazioni, il risultato sarà questo:
Si vede che:
- Le sessioni terminano quasi subito (minor carico sulla macchina).
- Le sessioni sono interrotte prima del tentativo di autenticazione (MD è più protetto e gli account più blindati).
