[postfix-es] Roundcube me convirtio en openrelay :(
kazabe
kazabe en gmail.com
Vie Mayo 22 22:23:17 CEST 2009
Hola.
Todos las conexiones que puedan relacionarse con envio de spam,
aparecen en los logs de roundcube. Es por eso que lo tengo como
primer sospechoso.
Debido a que varios usuarios del tipo "delicado" acceden por medio del
webmail, la opcion de quitarlo asi sea temporalmente es el ultimo
recurso que quiero agotar. Hablo de usuarios que no atienen
explicaciones, entonces prefiero no crear mas tension en el ambiente.
El problema de spam lo tengo temporalmente controlado bloqueando las
IPs raras de origen. Se que no es una solucion,. pero por lo menos
mantiene el problema "controlado" mientras lo soluciono.
Ya he posteado en los foros de roundcube, pero aun no obtengo respuesta.
En cuanto a la opcion que mi servidor sea open-relay, he realizado
varias pruebas y puedo garantizar que es seguro.
la autenticacion para todos los usuarios es por tls. El servidor no
confia en ninguna red (por eso tengo el parametro my_networks en
blanco). Tambien uso RBL.
Acabo de implementar una politica que espero contenga el problema
mientras descarto definitivamente si es roundcube el responsable. he
agregado la politica "undisclosed_recipients_header = " con lo cual
espero desactivar la opcion de que pueda enviarse mensajes desde mi
servidor a esa clase de destinos.
Hace tres horas que la puse ese parametro y hasta este momento no veo
ninguna actividad sospechosa.
Les estare contando como me va.
saludos
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein
El día 22 de mayo de 2009 14:56, David Gonzalez <david en delpozo.org> escribió:
> Estas seguro de que el problema es el roundcube? los mails que manda el
> roundcube tienen como origen la ip 127.0.0.1 si esta en la misma maquina que
> el postfix, no cada vez desde un sitio distinto, no obstante, haz una prueba
> rapida: QUITALO. cambia el nombre de la carpeta en la que este puesto y a ver
> que ocurre.
>
> cambia el password de esas cuentas que estan usando, por cierto, qué metodo
> usas para autentificar a los usuarios?
>
> Mirate en la web de roundcube/pregunta en sus listas para ver si existe la
> posibilidad de que haya un ataque remoto
>
> has verificado que tu servidor no sea un open-relay??
>
>
>
> On Friday 22 May 2009 18:50:31 kazabe wrote:
>> El origen del correo no es con la red local. y se esta presentando con
>> varias cuentas de manera aleatoria.
>>
>> que medidas de seguridad adicionales puedo tomar en postfix para
>> prevenir cualquier intento de uso del webmail como via para generar
>> spam?
>>
>> Saludos.
>>
>> «Existen dos cosas infinitas:
>> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
>> Albert Einstein
>>
>>
>>
>> El día 22 de mayo de 2009 11:34, David Martínez
>>
>> <dmartinez en cobraperu.com.pe> escribió:
>> > Como te digo a mí me paso y aún no se como ha sido, la solución fue
>> > cambiar la cuenta de correo.
>> >
>> > De hecho estoy convencido que si hoy vuelvo a crear esa cuenta de correo
>> > que esta "pirateada" vuelvo a tener el problema.
>> >
>> > Revisa el mail.log y ahí te puedes dar cuenta con que usuario están
>> > mandando dichos correos. Puede que sea simplemente un troyano en la
>> > computadora que tiene el correo y toma la configuración del Outlook para
>> > mandar sus correos.
>> >
>> > DMG
>> >
>> > -----Mensaje original-----
>> > De: postfix-es-bounces en lists.wl0.org
>> > [mailto:postfix-es-bounces en lists.wl0.org] En nombre de kazabe
>> > Enviado el: Viernes, 22 de Mayo de 2009 11:13 a.m.
>> > Para: postfix-es en lists.wl0.org
>> > Asunto: Re: [postfix-es] Roundcube me convirtio en openrelay :(
>> >
>> > Holas.
>> >
>> > Esta es mi configuracion:
>> >
>> > postconf -n
>> > alias_database = hash:/etc/aliases
>> > alias_maps = hash:/etc/aliases
>> > append_dot_mydomain = no
>> > biff = no
>> > broken_sasl_auth_clients = yes
>> > config_directory = /etc/postfix
>> > content_filter = smtp-amavis:[127.0.0.1]:10024
>> > delay_warning_time = 4h
>> > home_mailbox = Maildir/
>> > inet_interfaces = all
>> > mailbox_command = /usr/bin/maildrop
>> > mailbox_size_limit = 0
>> > message_size_limit = 10485760
>> > mydestination = midominio.com, localhost.midominio.com, localhost
>> > myhostname = midominio.com
>> > mynetworks =
>> > recipient_delimiter = +
>> > relayhost =
>> > smtp_tls_note_starttls_offer = yes
>> > smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
>> > smtp_use_tls = yes
>> > smtpd_banner = SMTP midominio (MailSRV.midominio.com)
>> > smtpd_client_restrictions = permit_mynetworks, reject_rbl_client
>> > bl.spamcop.net reject_rbl_client sbl.spamhaus.org
>> > reject_rbl_client relay.ordb.org reject_rbl_client
>> > opm.blitzed.org reject_rbl_client list.dsbl.org
>> > smtpd_discard_ehlo_keywords = silent-discard, dsn
>> > smtpd_recipient_restrictions =
>> > permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
>> > smtpd_sasl_auth_enable = yes
>> > smtpd_sasl_local_domain =
>> > smtpd_sasl_security_options = noanonymous
>> > smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
>> > smtpd_tls_auth_only = no
>> > smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
>> > smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
>> > smtpd_tls_loglevel = 1
>> > smtpd_tls_received_header = yes
>> > smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
>> > smtpd_tls_session_cache_timeout = 3600s
>> > smtpd_use_tls = yes
>> > tls_random_source = dev:/dev/urandom
>> > unknown_local_recipient_reject_code = 550
>> >
>> > Como pueden entonces estar enviando correos con mis usuarios desde
>> > direcciones remotas, si todos tienen que estar autenticados? aun los
>> > locales!!!!!!!!!!!
>> >
>> > saludos
>> >
>> > «Existen dos cosas infinitas:
>> > el universo y la estupidez humana... y no estoy muy seguro de la primera»
>> > : Albert Einstein
>> >
>> >
>> >
>> > El día 22 de mayo de 2009 9:35, David Figuera
>> >
>> > <dave2k8-pfxes en brookei.es> escribió:
>> >> kazabe wrote:
>> >>> Holas.
>> >>>
>> >>> Hace unos dias comence a notar que los correos de mi servidor estaban
>> >>> tardando demasiado en entregarse. Al revisar las colas, encuentro que
>> >>> hay demasiados mensajes acumulados, de los cuales el 100% no provienen
>> >>> de mis usuarios.
>> >>>
>> >>> Miro los logs de roundcube y encuentro esto:
>> >>>
>> >>> [21-May-2009 08:37:54 -0500]: User valid.user en localhost
>> >>> [75.126.32.187]; Message for undisclosed-recipients:;; 250: 2.0.0 Ok:
>> >>> queued as C8E55A4844B
>> >>>
>> >>> He bloqueado esa IP 75.126.32.187, pero esa no es una solucion real.
>> >>> Como puedo evitar que me usen el roundcube para enviar spam? tengo la
>> >>> ultima version y el postfix configurado para no permitir el relay.
>> >>
>> >> "valid.user", ¿es un usuario real?
>> >> Una solución inmediata, es retirar la opción permit_mynetworks de
>> >> smtp_*_restrictions y asegurarte de que todas las aplicaciones que
>> >> envían correo a través de tu smtpd lo hagan identificándose con SASL.
>> >>
>> >> _______________________________________________
>> >> List de correo postfix-es para tratar temas del MTA postfix en español
>> >> postfix-es en lists.wl0.org
>> >> http://lists.wl0.org/mailman/listinfo/postfix-es
>> >
>> > _______________________________________________
>> > List de correo postfix-es para tratar temas del MTA postfix en español
>> > postfix-es en lists.wl0.org
>> > http://lists.wl0.org/mailman/listinfo/postfix-es
>> >
>> > --
>> > Este mensaje ha sido analizado por MailScanner
>> > en busca de virus y otros contenidos peligrosos,
>> > y se considera que está limpio.
>> > For all your IT requirements visit: http://www.transtec.co.uk
>> >
>> >
>> > --
>> > Este mensaje ha sido analizado por MailScanner
>> > en busca de virus y otros contenidos peligrosos,
>> > y se considera que está limpio.
>> > For all your IT requirements visit: http://www.transtec.co.uk
>> >
>> > _______________________________________________
>> > List de correo postfix-es para tratar temas del MTA postfix en español
>> > postfix-es en lists.wl0.org
>> > http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>> postfix-es en lists.wl0.org
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>
>
>
> --
> David Gonzalez
>
> david en delpozo.org
> Http://www.guadawireless.net
> GNU/Linux registered user #139902
> jabber: david en jabber.guadawireless.org
>
> Enlace a un proyecto que tengo en marcha:
>
> http://buscadorhoteles.biz
>
>
More information about the postfix-es
mailing list