[postfix-es] Mi servidor envia SPAM

Carlos Alberto Bernat Orozco cabo81 en gmail.com
Vie Ago 14 00:59:32 CEST 2009 

OK, es una excelente forma de revisar y de cerrar el cerco... asi lo hare

Denme un tiempo de espera y les doy mis apreciaciones

Gracias!

El 13 de agosto de 2009 17:53, David Gonzalez<david en delpozo.org> escribió:
> Si no tienes servidor web, es muy difícil que vengan los tiros por ese lado... Para verificar de donde salen los correos, prueba a cerrar el puerto 25 en el router un rato, de manera que no pueda haber tráfico de correo con el exterior. Si tu cola de mails aumenta, tienes algo en el equipo creando esos mails. Si no sube, te están usando desde fueran, revisa los logs del sistema en general para ver si alguien hace login en ssh o en imap, no te centres exclusivamente en los de postfix....
>
> Suerte
>
> --
> David Gonzalez
>
> david en delpozo.org
> Http://www.guadawireless.net
> GNU/Linux registered user #139902
> jabber: david en jabber.guadawireless.org
>
> Enlace a un proyecto que tengo en marcha:
>
> http://todotonos.biz
>
>
> -----Original Message-----
> From: Carlos Alberto Bernat Orozco <cabo81 en gmail.com>
>
> Date: Thu, 13 Aug 2009 17:17:26
> To: David Gonzalez<david en delpozo.org>
> Cc: <postfix-es en lists.wl0.org>
> Subject: Re: [postfix-es] Mi servidor envia SPAM
>
>
> Hola Grupo
>
> Gracias David por tu rapida respuesta. No, la verdad es que no tengo
> un servidor web instalado aun. Tenia instalado el ISPConfig pero lo
> tengo deshabilitado.
>
> Lo que entiendo es que entonces si puede ser un exploit..... No tengo
> instalado PHP ni nada por el estilo.
>
> Hay alguna otra razon?
>
> De todas maneras voy a revisar mi servidor que puertos tiene abiertos
> y les escribire
>
> Gracias
>
> El 13 de agosto de 2009 16:42, David Gonzalez<david en delpozo.org> escribió:
>> Tienes algun servidor web en esa misma maquina?
>> quiza algún exploit de php...
>> Asegurate que tus usuarios no tienen contraseñas del tipo user en dominio.com
>> pass: user, es decir que la pass sea la misma que el usuario...
>>
>>
>> On Thursday 13 August 2009 23:29:30 Carlos Alberto Bernat Orozco wrote:
>>> Hola Grupo
>>>
>>> En dias pasados escribi que iba a autenticar el smtp debido a que
>>> tengo muchos problemas como servidor open-relay. Eso esta en planes
>>> debido a que aun no he tenido el tiempo para dedicarle a ello.
>>>
>>> Pero tengo ahora otro caso. Tengo otro servidor de correo, el cual
>>> configure hace poco y creo que le he configurado un buen anti-UCE.
>>> Pero veo con horror que me esta enviando correos a verizon. Y lo peor
>>> de todo es que no me da una direccion de origen ni nada para tener una
>>> pista en los logs.
>>>
>>> Esta es la salida del log especifica:
>>>
>>> Aug 13 13:35:13 miserver postfix/cleanup[29702]: 0590A194FD:
>>> message-id=<20090813183513.0590A194FD en miserver.midominio.com.co>
>>> Aug 13 13:35:13 miserver postfix/bounce[29704]: CF54A194FB: sender
>>> non-delivery notification: 0590A194FD
>>> Aug 13 13:35:13 miserver postfix/qmgr[16939]: 0590A194FD: from=<>,
>>> size=2855, nrcpt=1 (queue active)
>>> Aug 13 13:35:13 miserver postfix/smtp[29703]: 0590A194FD:
>>> to=<Waldron_46 en verizon.net>,
>>> relay=relay.verizon.net[206.46.232.11]:25, delay=0.19,
>>> delays=0.01/0/0.19/0, dsn=4.0.0, status=deferred (host
>>> relay.verizon.net[206.46.232.11] refused to talk to me: 571 Email from
>>> x.x.x.x is currently blocked by Verizon Online's anti-spam system. The
>>> email sender or Email Service Provider may visit
>>> http://www.verizon.net/whitelist and request removal of the block.
>>> 090813)
>>>
>>>
>>> Ese bendito (from=<>) de donde sale? porque sale? backscatter mail?
>>> por favor cualquier pista me indican... abajo mi postconf
>>>
>>> Esta es la configuracion de mi mail server: (salida postconf)
>>>
>>> alias_database = hash:/etc/aliases
>>> alias_maps = hash:/etc/aliases
>>> append_dot_mydomain = no
>>> biff = no
>>> config_directory = /etc/postfix
>>> disable_vrfy_command = yes
>>> inet_interfaces = all
>>> mailbox_command = procmail -a "$EXTENSION"
>>> mailbox_size_limit = 0
>>> mydestination = midominio.com.co, hostname.midominio.com.co,
>>> localhost.midominio.com.co, localhost
>>> myhostname = hostname.midominio.com.co
>>> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 10.0.0.0/16
>>> 10.1.0.0/16 127.0.0.0/8 172.16.0.0/16 192.168.0.0/30 10.2.0.0/16
>>> x.x.x.x/24
>>> myorigin = /etc/mailname
>>> readme_directory = no
>>> recipient_delimiter = +
>>> relayhost =
>>> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
>>> smtpd_data_restrictions = reject_unauth_pipelining,    permit
>>> smtpd_delay_reject = yes
>>> smtpd_helo_required = yes
>>> smtpd_recipient_restrictions = reject_invalid_hostname,
>>> reject_non_fqdn_hostname,    reject_non_fqdn_sender,
>>> reject_non_fqdn_recipient,    reject_unknown_sender_domain,
>>> reject_unknown_recipient_domain,    permit_mynetworks,
>>> reject_unauth_destination,    check_recipient_access
>>> regexp:/etc/postfix/recipient_checks.regexp,    check_helo_access
>>> hash:/etc/postfix/helo_checks,    check_sender_access
>>> hash:/etc/postfix/sender_checks,    check_client_access
>>> hash:/etc/postfix/client_checks,    check_client_access
>>> regexp:/etc/postfix/client_checks.regexp,    reject_rbl_client
>>> cbl.abuseat.org,    reject_rbl_client sbl.spamhaus.org,
>>> reject_rbl_client pbl.spamhaus.org    permit
>>>
>>> Las reglas anti UCE las saque del enlace:
>>> http://jimsun.linxnet.com/misc/postfix-anti-UCE.txt que me parecio muy
>>> bueno al explicar las UCE. Tambien las acomode hace unos 5 dias mas o
>>> menos para que tuviera un servidor limpio de SPAM.
>>>
>>> Lo que entiendo es lo siguiente
>>>
>>> -No soy open relay. Ya probe con varias paginas
>>> -Solo ciertas redes pueden conectarse con mi server para enviar correos.
>>> -Cumplo con el orden de las reglas para que no me vuelva mi servidor
>>> un open-relay
>>> -Aunque se que varios consejos me diran que autentique el SMTP, tengo
>>> un mal presentimiento que mi server tenga algun virus o algo asi. (por
>>> que no veo el origen del mensaje asumo que lo envio mi propio correo)
>>>
>>> No entiendo el origen de ese correo que me determina que estoy en
>>> listas negras. Por favor cualquier indicio me ayudaria bastante.
>>>
>>> De antemano muchas gracias
>>>
>>>
>>> Carlos
>>>_______________________________________________
>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>> postfix-es en lists.wl0.org
>>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>>
>>
>> --
>> David Gonzalez
>>
>> david en delpozo.org
>> Http://www.guadawireless.net
>> GNU/Linux registered user #139902
>> jabber: david en jabber.guadawireless.org
>>
>> Enlace a un proyecto que tengo en marcha:
>>
>> http://latiendadel.biz
>>
>>
>

More information about the postfix-es mailing list