Notas del Mundo Real 2.0

Notas de un SysAdmin que terminó siendo MVP

December 2009 - Artículos

Haciéndole la vida difícil a los Spammers: SMTP Tar Pitting (Pozo de Brea)

NOTA:

Este post fue publicado originalmente en mi anterior blog el
14/08/2007. 
Hice algunos cambios, modificaciones y adiciones para mejorar el artículo

Como vimos en los artículos sobre envío de correo SMTP (PARTE I, PARTE II y Relay), al establecer una conexión SMTP es bastante fácil poder obtener una lista de las direcciones de correo válidas en un dominio: Basta con adivinar los nombres de usuario al enviar al correo el comando "rcpt to: <usuario_adivinando>@dominio.org".
Por ejemplo, si Juan Pérez tiene una cuenta de correo jperez@dominio.org, generalmente veremos en los logs de recepción (y/o bloqueo) de correo, más de algún mensaje dirigido a casillas del tipo: jperez128@dominio.org, juanjperez@dominio.org, etc.  Claramente el spammer está intentando adivinar direcciones de correo válidas.

Si tenemos habilitado en nuestro servidor Exchange el filtrado por destinatario (recipient filter) para que no acepte mensajes a destinatarios que no están en el directorio, es decir, sólo reciba correos para destinatarios que posean una dirección de correo válida, el servidor entregará un mensaje de error con código 5.x.y al atacante durante la conexión smtp.
Esto tiene 3 problemas:

  1. Estamos dando –indirectamente - a nuestro atacante información sobre cuáles son las direcciones de correo electrónico válidas en nuestra organización.
  2. Nuestro servidor SMTP está procesando un alto volumen de peticiones del atacante y realizando una gran cantidad de consultas al Servicio de Directorio (Active Directory), consumiendo inútilmente recursos valiosos.
  3. El servidor de correo está obligado, por adhesión a la RFC 2821 a enviar un correo con un NDR al "remitente" que trata de enviar correos a las direcciones "equivocadas". En el caso de un ataque, aún más recursos desperdiciados y posibilidad de caer en listas de backscatter.

La situación recién mencionada es conocida como un ataque de Directory Harvest, o “Cosecha de Directorio”.

Como respuesta a este problema, se puede implementar en nuestros servidores SMTP la funcionalidad de Tar Pitting, la cual consiste en introducir un retraso en las respuestas con código 5.x.y, usualmente asociadas a problemas derivados de ataques de SPAM.

Exchange 2003

La funcionalidad de TarPitting no es exclusiva de Exchange 2003, pues es una característica del servidor SMTP, y por tanto de IIS, la cual está disponible para cualquier equipo tenga instalado el SP1 de Windows 2003 Server.

Cómo se configura?

Súper simple.

  1. Debemos abrir el editor del registro (Inicio -> Ejecutar -> Regedit).
  2. Buscamos la siguiente ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. Clic derecho - Nuevo Valor DWORD.
  4. Escribir: TarpitTime (OJO con las mayúsculas y minúsculas), Presionar Enter.
  5. Abrir el nuevo valor creado (TarpitTime) haciendo doble clic sobre él, luego haga clic sobre decimal e ingrese un número en el cuadro de texto. Por ejemplo: 8.
  6. Cierre el editor de Registro.
  7. Reinicie el Servicio SMTP del servidor.

Qué hicimos?. Creamos el valor en el registro y configuramos una demora de 8 segundos en las respuestas del tipo 5.x.y.
Por qué 8 segundos? porque 8 segundos es un tiempo razonable para que un usuario que escribió mal una dirección espere por su respuesta, pero es una eternidad para un robot spammer ;)... además, me gusta el número 8 :p

Referencias:

Exchange 2007/2010:

En Exchange 2007 la configuración de TarPit viene habilitada de forma predeterminada en los conectores de recepción (Servidores de Transporte) en un valor de 5 segundos. Para revisar esta configuración se puede utilizar el cmdlet:

get-ReceiveConnector | select name,tarpitinterval

y para modificar esta configuración, se puede usar este comando:

set-ReceiveConnector "Receive Connector Name" -tarpitinterval 00:00:10

hay que reemplazar el nombre del conector y el valor de la demora en horas:minutos:segundos

Referencias:

 

Bonus: Mi Amigo Christian Aguilera me comentó que además el retraso tiene una "Duración Aleatoria". Con esto se persigue engañar a los robots de spam, para que así no logren detectar que existe un mecanismo de Tar Pitting configurado en nuestro servidor. Esta es una de las ventajas que Exchange 2007 traiga su propio servicio SMTP (y ya no use el servicio SMTP del IIS).


Si quieren conocer más sobre Exchange 2007, les recomiendo los sitios de:

 

Gonzalo

Posted: 22/12/2009 2:53 por gbr | con 2 comment(s)
Códigos de Respuesta de un Servidor SMTP

NOTA:

Este post fue publicado originalmente en mi anterior blog el
14/08/2007. 
Hice algunos cambios, modificaciones y adiciones para mejorar el artículo

Te has visto alguna vez en una situación como esta?

Usuario: (te llama y te dice:) "Hola. sabes, no puedo enviar un correo".
ADMIN: OK, me podría decir por favor qué mensaje de error le aparece en la pantalla?
Usuario: "Si, aquí dice: su mensaje no se ... ha podido entregar... código del error: 5.2.3. Qué puede ser?".
ADMIN: ???? (Este tipo cree que me sé TODOS los códigos de error de memoria o qué?!).

Bueno, al menos yo sí .. más de un par de veces.... y no me sé los mensajes de error de memoria, pero...sí conozco son los primeros números que componen los códigos de las “Notificaciones de Estado de Entrega” (RFC 1891 y RFC 1893)

  • 2.X.Y : Éxito, la operación pudo ser realizada.
  • 4.X.Y : Error transitorio persistente, la operación no puede ser realizada temporalmente, por ejemplo debido a problemas con la red, o con recursos del servidor.
  • 5.X.Y : Errores permanentes, este tipo de errores implican  que el servidor esté con algún problema o que hay alguna regla específica que se esté violando, por ejemplo el error 5.2.3 significa que “el mensaje es demasiado grande para la cuota local”.

Nota: estos mismos códigos aplican para comunicaciones HTTP.

Pero, más importante aún, aunque no me conozca los códigos de errores, al menos sé donde encontrarlos ;D

KB284204: Notificaciones del estado de entrega en Exchange Server y Small Business Server

Espero que les sirva.

Gonzalo

PS: Cualquier relación o parecido con las historias del BOFH es completamente intencional ;)

Posted: 14/12/2009 21:21 por gbr | con 7 comment(s) |
Herramientas Gratuitas. Parte I

NOTA:

Este post fue publicado originalmente en mi anterior blog el
13/08/2007. 
Hice algunos cambios, modificaciones y adiciones para actualizar un par de herramientas

Hace unos días atrás, se dio una discusión bastante interesante en el foro/mail-list de ITPRO Chile, la cual trataba básicamente sobre la "legitimidad" de tener software pirata, por el simple hecho que "todo el mundo usa software pirata".

Más allá del dilema moral al respecto y de la Guerra Santa entre los adherentes al software de código abierto (y software libre) "Versus" el Software Propietario, me declaro un simpatizante y usuario de software GRATIS. En este punto no puedo eludir mi deber de aclarar que en castellano libre NO ES LO MISMO que gratis. (lo siento…)

Bueno, aquí les dejo una pequeña lista de los programas y herramientas gratuitas que habitualmente utilizo como usuario doméstico, o como Administrador de Sistemas. 

  • Antivirus:
  • AntiSpyware: Windows Defender
  • Cliente (y Servidor) FTP: FileZilla
  • Compresor: 7-zip, excelente herramienta, incluso descomprime .rar :)
  • CD/DVD Burner:
    • IsoRecorder, Excelente programa para grabar .iso a CD/DVD. Compatible con XP, Vista, Windows7 y Windows 2008/R2.
    • CDBurn y DVDBurn, ambas vienen en el Resource Kit de Windows 2003 Server.
    • Daemon-Tools: Permite leer y cargar en un CD/DVD Virtual imagenes .iso. OJO: en las últimas versiones (4.x) han incluido en la instalación la "opción" de instalar Software Spyware: DAEMON Tools Searchbar y Save Now. Mi recomendación es instalar versiones anteriores (3.x) y poner MUCHO cuidado a las opciones de instalación
  • Sniffers:
  • Capturas de Pantalla
    • Recortes (Cropper), viene con Windows Vista y Windows 7. Permite sacar recortes de pantalla (ventanas completas o sólo alguna parte seleccionada). Ideal para hacer informes de forma rápida.
    • Snapshots. Captura imágenes de la pantalla, muy sencillo y simple de usar
    • Camstudio: Permite grabar en video lo que ocurre en tu pantalla (tipo screencast), una excelente alternativa a software como Camtasia
  • Virtualización: Microsoft ofrece en el nuevo programa VHD Test Drive la posibilidad de bajar discos duros virtuales de servidores con productos pre-instalados para probarlos. Imperdible.
  • IMFCompanion. Indispensable para los administradores de Exchange 2003 que usamos IMF como filtro antispam. Permite "ver" y "rescatar" correos que han sido bloqueados erróneamente (falsos positivos).
  • Crimson Editor. Excelente editor de texto. Permite editar casi cualquier archivo de texto en casi cualquier formato (HTML, C, ASM, XML, y un largo etc.), con highlights de sus palabras reservadas. Además tiene un cliente ftp incorporado para hacer actualizaciones a sitios web desde el mismo editor, en incluso se puede configurar un compilador y así compilar desde el mismo editor.
  • Karen's Power Tool. Lejos uno de mis favoritos. Karen ha escrito un montón de herramientas gratuitas súper útiles y simples de usar para poder realizar tareas importantes.
    En más de una oportunidad sus aplicaciones me han ayudado :D. Por mencionar sólo algunas:
    • Replicator. Esta herramienta replica y sincroniza archivos y directorios. La copia es idéntica al original, incluso replica la fecha de creación del archivo. Es capaz de replicar "el borrado de archivos" entre el origen y el destino. Se puede configurar para que replique periódicamente.
    • 'Net Monitor. Permite monitoreo básico de algunos servicios críticos de cualquier red: HTTP y SMTP; también verifica la conectividad con cualquier equipo de la red (ping). En conjunto con EMailer II es capaz de enviar correos o alertas en caso de fallas. (casi igual que MOM :p)
    • Karen's EmailerII. Envía correos desde la línea de comandos. Puede ser usado para, por ejemplo, enviar alertas desde el 'Net Monitor, o desde el Performance Monitor de Windows (Les Recomiendo el Blog de Isabel de la Barra sobre PerfMon ;) ) 
    • Karen's Print Logger. Esta herramienta se instala en nuestro servidor de impresión y lleva un registro (en .txt, fácilmente importable en excel) sobre qué cosas han sido impresas: usuario, cantidad de hojas, nombre del archivo o URL, fecha y hora, entre otros. Increíblemente útil y Gratis.

Hasta aquí mi lista de herramientas gratuitas favoritas. Como pueden ver, son hartas las cosas que se pueden hacer con herramientas de buena calidad y sin necesidad de piratear software ;).

Espero, que la parte II de éste artículo la construyan Ustedes contándome cuáles son sus herramientas gratuitas favoritas ;).

Gonzalo

Etiquetas de Technorati: ,,
Posted: 7/12/2009 9:23 por gbr | con 8 comment(s)
Archivado en: