[postfix-es] Emails falsos de mi servidor

Gorka gorkapostfix en yahoo.es
Jue Nov 13 11:52:14 CET 2008 


> > Por otra parte, si tú mismo recibes mails que parecen venir de ti
> > mismo, pueden pasar dos cosas:
> >   - Si apareces como remite del SOBRE (la dirección que se pone en el
> > 'mail from') deberías revisar tu configuración y no permitir que
> nadie
> > sin autenticar pueda enviar desde fuera usando cuentas de tu dominio.
> >   - En cambio, si no apareces como remite del SOBRE pero sí apareces
> en
> > la cabecera 'From:' del mensaje, en ese caso te remito al mail
> > anterior, poco puedes hacer para evitarlo.
> >
> 
> Estoy en el segundo caso, por suerte y por desgracia.
> Haré todo lo que pueda sobre lo que me has comentado en el mail
> anterior.
> Muchas gracias, Miguel Ángel.


El caso es que ahora empiezo a dudar de si realmente estoy en el segundo
caso, porque en la cabecera sí que pone mi mail en el from, pero en el
mail.log pone el de un tal jorge.juan en finantia.com que, por supuesto, no
conozco en absoluto.

Esta es mi cabecera del email recibido (reemplazo algunos nombres por
seguridad):

Return-Path: <jorge.juan en finantia.com>
Delivered-To: miemail en midominio.com
Received: from localhost (localhost [127.0.0.1])
	by equipo.empresa.es (Postfix) with ESMTP id 38835D38004
	for <miemail en midominio.com>; Thu, 13 Nov 2008 08:01:05 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at correo.empresa.es
X-Spam-Score: 1.551
X-Spam-Level: *
X-Spam-Status: No, score=1.551 tagged_above=undef required=3
	tests=[AWL=-3.978, BAYES_00=-2.599, HTML_50_60=0.134,
	HTML_EXTRA_CLOSE=3.6, HTML_IMAGE_ONLY_20=1.157, HTML_MESSAGE=0.001,
	HTML_SHORT_LINK_IMG_3=0.881, MIME_HTML_ONLY=0.001,
	MSGID_FROM_MTA_ID=1.393, NO_REAL_NAME=0.961]
Received: from equipo.empresa.es ([127.0.0.1])
	by localhost (equipo.empresa.es [127.0.0.1]) (amavisd-new, port
10024)
	with ESMTP id 5Zatj2FHlRsg for <miemail en midominio.com>;
	Thu, 13 Nov 2008 08:00:56 +0100 (CET)
Received: from zubaida (unknown [202.38.50.175])
	by equipo.empresa.es (Postfix) with SMTP id 371C7D38001
	for <miemail en midominio.com>; Thu, 13 Nov 2008 08:00:56 +0100 (CET)
X-Originating-IP: [269.324.59.0]
X-Originating-Email: [miemail en midominio.com] 
X-Sender: miemail en midominio.com
To: <miemail en midominio.com>
Subject: RE: Enjoy every new morning without thinking of asthma! 
From: <miemail en midominio.com>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Message-Id: <20081113070056.371C7D38001 en equipo.empresa.es>
Date: Thu, 13 Nov 2008 08:00:56 +0100 (CET)

Y estas creo que son las líneas del mail.log referentes a ese mail:

08:00:55 postfix/smtpd[9506]: warning: 202.38.50.175: hostname
Static.202-38-50-175.hri.net.pk verification failed: No address associated
with hostname
08:00:55 postfix/smtpd[9506]: connect from unknown[202.38.50.175]
08:00:56 postfix/smtpd[9506]: 371C7D38001: client=unknown[202.38.50.175]
08:00:56 postfix/cleanup[9509]: 371C7D38001:
message-id=<20081113070056.371C7D38001 en equipo.empresa.es>
08:00:56 postfix/qmgr[4548]: 371C7D38001: from=<jorge.juan en finantia.com>,
size=2441, nrcpt=1 (queue active)
08:00:57 postfix/smtpd[9506]: disconnect from unknown[202.38.50.175]
08:01:05 postfix/smtpd[9514]: connect from localhost[127.0.0.1]

08:01:05 postfix/smtpd[9514]: 38835D38004: client=localhost[127.0.0.1]

08:01:05 postfix/cleanup[9509]: 38835D38004:
message-id=<20081113070056.371C7D38001 en equipo.empresa.es>                 
08:01:05 postfix/qmgr[4548]: 38835D38004: from=<jorge.juan en finantia.com>,
size=3263, nrcpt=1 (queue active)             
08:01:05 postfix/smtpd[9514]: disconnect from localhost[127.0.0.1]

08:01:05 amavis[9474]: (09474-02) Passed CLEAN, [202.38.50.175]
[202.38.50.175] <jorge.juan en finantia.com> -> <miemail en midominio.com>,
Message-ID: <20081113070056.371C7D38001 en equipo.empresa.es>, mail_id:
5Zatj2FHlRsg, Hits: 1.551, queued_as: 38835D38004, 8292 ms 
08:01:05 postfix/smtp[9511]: 371C7D38001: to=<miemail en midominio.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=9.3, delays=0.99/0/0/8.3, dsn=2.6.0,
status=sent (250 2.6.0 Ok, id=09474-02, from MTA([127.0.0.1]:10025): 250
2.0.0 Ok: queued as 38835D38004)
08:01:05 postfix/qmgr[4548]: 371C7D38001: removed                 
08:01:05 postfix/pipe[9519]: 38835D38004: to=<miemail en midominio.com>,
relay=dovecot, delay=0.07, delays=0.05/0/0/0.02, dsn=2.0.0, status=sent
(delivered via dovecot service)        
08:01:05 postfix/qmgr[4548]: 38835D38004: removed                 
08:01:07 postfix/anvil[9463]: statistics: max connection rate 3/60s for
(smtp:85.21.236.73) at Nov 13 07:54:49        
08:01:07 postfix/anvil[9463]: statistics: max connection count 1 for
(smtp:212.49.143.53) at Nov 13 07:51:07        
08:01:07 postfix/anvil[9463]: statistics: max cache size 3 at Nov 13
07:55:40          

¿Qué opinas? ¿Están utilizando mi servidor para enviar spam, o sólo soy una
víctima destinataria más?

More information about the postfix-es mailing list