verificare se il mio SMTP è protetto

Con il numero crescente di attacchi ransomware negli anni 2020
la posta elettronica, il nostro principale canale di comunicazione su Internet, è sicura?

I server SMTP sono un’infrastruttura particolarmente sensibile.
Diffondono messaggi email per nostro conto,
che le nostre controparti accettano come provenienti da mittenti fidati
perché risultano correttamente autenticati dal server SMTP del mittente.

Cosa accade se qualcun altro usa il vostro server SMTP?
Come verificare se il mio server SMTP è protetto nel 2021?

L’uso di infrastrutture sensibili su Internet
richiede un elevato livello di protezione per evitare abusi.

Avviso di sicurezza critico

Se provate a inviare messaggi tramite smtp.gmail.com
verrete bloccati e riceverete questo “Avviso di sicurezza critico”:

App meno sicura bloccata
Google ha bloccato l'app che stavi cercando di usare
perché non rispetta i nostri standar di sicurezza. [...]

L’unica alternativa è usare OAuth2, un protocollo che non trasmette i dati della password
ma utilizza invece i token di autorizzazione per controllare l’identità.

I server di posta più utilizzati su Internet (dati di Agosto 2021) sono:
Exim (58%), Postfix (35%), Sendmail (4%)

Per continuare ad utilizzare il vostro server di posta
riducendo il rischio di essere hackerati,
i requisiti minimi da verificare sono:

  1. accettare solo l’autenticazione sicura
    nome utente e password devono essere trasmessi tramite connessioni sicure,
    generalmente porta 587+TLS oppure porta 25+TLS oppure porta 465+SSL
    le comunicazioni di dati sensibili in testo normale sono disabilitate

  2. deve essere presente un controllo sull’indirizzo “Mail-From” (il mittente),
    solo quelli che hai autorizzato potranno passare

  3. configurare Fail2ban per bloccare tutti gli attacchi esterni
    per prevenire i tentativi di forzare le vostre protezioni.
    In particolare Fail2ban dovrebbe bloccare tutti i tentativi ripetuti:

  • di accedere con username o password errati
  • di inviare email con un mittente non autorizzato
  • di interrompere la connessione smtp durante il processo di autenticazione
    (più connessioni interrotte rendono il servizio smtp non disponibile per gli utenti legittimi)

Il blocco di solito interviene tra tre e dieci tentativi
e banna l’IP di origine per tre fino a ventiquattro ore.

È abbastanza facile testare questi punti e decidere se o meno
la vostra infrastruttura smtp richiede un upgrade di sicurezza.

Fail2ban protegge il vostro server dagli attacchi BruteForce/DDOS.
Funziona come se quando uno sconosciuto bussa alla porta,
dopo un certo numero di colpi, la porta scompare.

logo Fail2ban

Una testimonianza tratta da Hacker News:

Gestisco il mio server di posta da diversi anni e penso che molti altri qui
utilizzino soluzioni come Mail-in-a-box, mailcow, Mailu, ecc

Fino all'arrivo del Corona, non ho mai avuto grossi problemi con il mio server di posta ma nelle ultime settimane
Ho ricevuto molto traffico in entrata - era troppo per il mio server e ho dovuto riavviarlo manualmente ogni volta ...

[...] Correzione: ho cambiato le mie impostazioni fail2ban ed ho scoperto che ero principalmente preso di mira
da attacchi di forza bruta da cui dovrei essere in grado di proteggermi con strumenti come fail2ban

Fail2ban è un’applicazione di analisi dei log che monitora i log di sistema
alla ricerca dei sintomi di un attacco automatico.

Quando viene individuato un tentativo di abuso, utilizzando i parametri definiti,
Fail2ban aggiunge una nuova regola al firewall (iptables o firewalld)
per bloccare l’indirizzo IP dell’attaccante, sia per un determinato periodo di tempo, sia in modo permanente.
Fail2ban può anche avvisarvi tramite e-mail che si sta verificando un attacco.

Fail2ban si concentra principalmente sugli attacchi SSH, sebbene possa essere ulteriormente configurato
per funzionare con qualsiasi servizio che utilizza file di log e possa essere oggetto di abusi.

È ampiamente usato. Cercandolo su Google, è facile trovare
esempi di configurazione per la protezione dei server di posta.