GORDIO

Tatita del Ritmo
Se incorporó
30 Agosto 2005
Mensajes
2.097
Liños de capa9
Alguno de ustedes me podria orientar.
Resulta que hay un server de correo, que no entiendo que paso que esta enviando spam, con un from de una ip externa, de la india. y no he podido hacer que pare.
ALguien cacha de Postfix ???
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Liños de capa9
Alguno de ustedes me podria orientar.
Resulta que hay un server de correo, que no entiendo que paso que esta enviando spam, con un from de una ip externa, de la india. y no he podido hacer que pare.
ALguien cacha de Postfix ???
fácil pos amigo
tiene una cuenta de correo a la que le pillaron o robaron la clave
debes revisar los logs de autentificación para ver qué usuario están usando

para bloquear la salida de correos usa esta regla de iptables

iptables -I OUTPUT -p tcp --dport 25 -J DROP

con eso se bloquea la salida de cualquier correo fuera del servidor, pero permitirá recibir



Enviado desde mi TA-1039 mediante Tapatalk
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
tips para postfix que son utiles en estos casos:

listado de cola de mensajes :
mailq
o tambien "postqueue -p"

listado resumido de correos en cola por "estado":
qshape -s active (para ver correos por dominio activos)
qshape -s deferred (para ver correos retenidos por errores o rechazo/denegacion de conexion)


revisar cabeceras y codigo fuente de mensaje encolado:
postcat -q ID-CORREO | more (suelen ser largos, con las cabeceras y el principio del mensaje basta para ver si es spam o no )


algunas opciones que suelo usar en la configuración de postfix (main.cf, puedes sustituir o agregar al final)

bounce_queue_lifetime = 2h
maximal_queue_lifetime = 3d
smtpd_client_connection_rate_limit = 50
smtpd_client_message_rate_limit = 40
smtpd_client_new_tls_session_rate_limit = 30
smtpd_client_recipient_rate_limit = 50
default_destination_rate_delay = 1s
(esta ultima opción sirve para evitar que mande todo tan rapido y envíe correos 1 por segundo, si queda en 0s, enviara según los rates por default, unos 5 por dominio de destino a la vez y de forma intensiva)


un pequeño script que uso para eliminar todos los correos encolados que tengan cierto dominio o cuenta de remitente en comun:

#!/bin/bash

mailq|grep -i $1 |awk '{print $1}'|sed -e s/\*//g |xargs -L1 postsuper -d
 
Upvote 0

GORDIO

Tatita del Ritmo
Se incorporó
30 Agosto 2005
Mensajes
2.097
voy a volver a levantar el servicio
por que hay 109000 correos encolados !!! terrible cola
 
Upvote 0

GORDIO

Tatita del Ritmo
Se incorporó
30 Agosto 2005
Mensajes
2.097
despues del
mailq|grep -i $1 |awk '{print $1}'|sed -e s/\*//g |xargs -L1 postsuper -d
quedaron 250 correo en cola
y volvi a parar el servicio
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
como hacen la autenticacion smtp ? con sasl ?
suele usarse saslauthd o algun otro servicio auxiliar para la autenticacion smtp
en el log de correos suele generar logs de tipo "sasl" (buscando por ese patron puedes ver si hay algo de eso) y con eso ver desde que usuario se podria estar usando

ojo que el script se guarda en un archivo, se da permiso de ejecucion , y luego se ejecuta con algun dominio o remitente para que sean eliminados de la cola:

limpiar.sh [email protected]

de esa forma elimina solo esos correos y no toca correos legitimos

saludos
 
Upvote 0

GORDIO

Tatita del Ritmo
Se incorporó
30 Agosto 2005
Mensajes
2.097
EL firewall de esta cosa no permite mucha conf.
Es mas no se si es iptables :zippy
Me sale esto:
hay puse la IP que encontre en los header del spam
pero no funciono siguio mandando :bncry
2rwuoid.png
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Existe alguna forma de decirle que solo pueden salir correos del dominio ?, por esta en los "from" de los header sale la IP esa y el correo "[email protected]"
Gracias
si, justamente hay una opcion para bloquear a quien no cuadre en el from con el auth login

en smtpd_sender_restrictions, agrega cerca del principio la siguiente opcion: reject_authenticated_sender_login_mismatch

saludos
 
Upvote 0

GORDIO

Tatita del Ritmo
Se incorporó
30 Agosto 2005
Mensajes
2.097
AL final la cosa no esta recibiendo ningun correo, solo envia.
Me voy a mi casa, mañana pensare que hacer.
Gracias por su sintonia.

Cuanto me saldra que un loco capo venga a darse una vuelta y configurar esto ?? :zippymmm
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
mm y eso que funcion tiene ? solo gateway?
bypass de correos ?
o maneja correo completo el solito ?
 
Upvote 0

GORDIO

Tatita del Ritmo
Se incorporó
30 Agosto 2005
Mensajes
2.097
mm y eso que funcion tiene ? solo gateway?
bypass de correos ?
o maneja correo completo el solito ?
tiene 2 servicios, el correo, para un dominio y una web, tambien solo un dominio.
El firewall es otro equipo que esta antes.

Al final no entraba nada, porque me fataba enl el firewall propio del server volver a poner el trafico del puerto 25, ya esta andando.
 
Última modificación:
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
ah dale
bueno, hay que tener cuidado con esos bichos, los correos idealmente hay que monitorearlos en varios ambitos
tanto trafico de red y recursos, como estado de la cola de correos , ya que eso avisa cuando hay spam saliendo del servidor

ah, y pudieron pillar la cuenta afectada ?
 
Upvote 0

GORDIO

Tatita del Ritmo
Se incorporó
30 Agosto 2005
Mensajes
2.097
Al final me dio flojera revisar los logs, asi que obligue a mi jefe a que pusiera un politica de contraseñas robustas.
Asi que cambiamos las contraseñas de todos.
onda
Empresa@area@oficina
Ejemplo:
Capa9@sys01@1701
 
Última modificación:
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Al final me dio flojera revisar los logs, asi que obligue a mi jefe a que pusiera un politica de contraseñas robustas.
Aqui que cambiamos las contraseñas de todos.
onda
Empresa@area@oficina
Ejemplo:
Capa9@sys01@1701
yap, es lo mejor en esos casos, y si no son muchas cuentas, es lo mas rapido si los logs no acompañan
 
Upvote 0
Subir