[Postfix espanol] Correos extraños recibidos.

[Simon J Mudd]

jmoralesz en arrakis.es ("Juan (Casa)") writes:

> Buenas. Hoy estoy recibiendo correos de un tamaño de 145.000 bytes, que
> me dicen que si tengo virus (el magister, u otros), tanto de direcciones
> desconocidas por mi, como de mi propia direccion. Yo no puedo ser,
> porque ademas no tiene la firma de abajo, pero llegan directamente como
> del smtp de arrakis.

Si quieres ver si los mensajes los has enviado tu puedes mirar los
logs de postfix en tu maquina. (No los puedo ver en tu mensaje aqui,
porque la lista lo veo via "news" y el software mail -> news borra
varias cabeceras del mensaje.)

Todos los mensajes smtp tienen cabeceras de la siguiente manera:

Return-Path: <xxxx en softhome.net>
Delivered-To: sjmudd en smtp.ea4els.ampr.org
Received: from granite.pobox.com (granite.pobox.com [207.8.152.160])
        by phoenix.ea4els.ampr.org (Postfix) with ESMTP id 5D10A3DC2
        for <sjmudd en smtp.ea4els.ampr.org>; Fri, 19 Oct 2001 12:35:31 +0200 (CESTReceived: from granite (localhost [127.0.0.1])
        by granite.pobox.com (Postfix) with ESMTP id 4A27A7DF4D
        for <sjmudd en smtp.ea4els.ampr.org>; Fri, 19 Oct 2001 06:35:30 -0400 (EDT)Delivered-To: sjmudd en pobox.com
Received: from eb4euf.ampr.org (unknown [213.97.127.171])
        by granite.pobox.com (Postfix) with ESMTP id DB96B7DF0C
        for <sjmudd en pobox.com>; Fri, 19 Oct 2001 06:35:28 -0400 (EDT)
Received: from localhost (lram en localhost [127.0.0.1])
        by eb4euf.ampr.org (8.8.7/8.8.7) with ESMTP id MAA26755;
        Fri, 19 Oct 2001 12:36:09 +0200
Date: Fri, 19 Oct 2001 12:36:08 +0200 (CET)
From: XXXX <xxxx en softhome.net>
To: Simon J Mudd <sjmudd en pobox.com>
Subject: XXXX
Message-ID: <Pine.LNX.4.04.10110191233480.24687-100000 en eb4euf.ampr.org>


Con estas cabeceras puedes ver que el mensaje me ha llegado segun la
siguiente ruta:

	host			ip
	----			---------
	localhost		127.0.0.1
	eb4euf.ampr.org		213.97.127.171
	granite.pobox.com	207.8.152.160
	phoenix.ea4els.ampr.org ??

Mi pc se llama phoenix.ea4els.ampr.org.  Si ves los mensajes que te
han enviado puedes ver si las cabeceras incluyen el nombre de tu
maquina. (Deben incluirlo si vienen de tu maquina.)

Si ves que los mensajes supuestamente vienen de tu maquina mira el
queue-id (identificacion de cola/mensaje) que esta en el mensaje.
En mi caso (arriba) el mensaje es: 5D10A3DC2

Ahora solo hace falta buscar en /var/log/maillog (o .?.gz si cambias
el log de fichero todos los dias) todas las entradas referentes a este
queue-id.  En mi caso:

[sjmudd en phoenix conf]$ grep 5D10A3DC2 /var/log/maillog
** no encuentra nada en los mensajes de hoy **

[sjmudd en phoenix conf]$ zgrep 5D10A3DC2 /var/log/maillog*gz
/var/log/maillog.5.gz:Oct 19 12:35:31 phoenix postfix/smtpd[5053]:
	5D10A3DC2: client=granite.pobox.com[207.8.152.160]
/var/log/maillog.5.gz:Oct 19 12:35:32 phoenix postfix/cleanup[5054]:
	5D10A3DC2: message-id=<Pine.LNX.4.04.10110191233480.24687-100000 en eb4euf.ampr.org>
/var/log/maillog.5.gz:Oct 19 12:35:32 phoenix postfix/nqmgr[4441]:
	5D10A3DC2: from=<xxxx en softhome.net>, size=1508, nrcpt=1 (queue active)
/var/log/maillog.5.gz:Oct 19 12:35:33 phoenix postfix/local[5056]:
	5D10A3DC2: to=<sjmudd en smtp.ea4els.ampr.org>, relay=local, delay=2, status=sent ("|/usr/bin/procmail -t")
 
Las lineas salen un poco largas asi que las he reformateado un poco.
Se ve el mensaje que viene de granite.pobox.com [207.8.152.160]
entrando por smtpd (el demonio smtp).
Cleanup modifica las direcciones (en mi caso sjmudd en pobox.com -> cuenta local)
Local entrega el mensaje utilizando procmail

Tiempo de tratamiento 2s.

Puedes hacer lo mismo con tus mensajes y ver si eres el culpable de
enviarlos mails con virus o simplemente si te estan engañando.

Espero que esto ayude.

Simon
-- 
Simon J Mudd, Madrid SPAIN.   email: sjmudd en pobox.com
Tel: +34-91-408 4878,   Mobile: +34-605-085 219
-
Para quitarte de la lista enviar la linea "unsubscribe postfix-espanol" en
el cuerpo de un mensaje a majordomo en unicorn.ea4els.ampr.org