[postfix-es] [SOLUCIONADO] Re: Roundcube me convirtio en openrelay :(
kazabe
kazabe en gmail.com
Vie Mayo 22 22:51:38 CEST 2009
bueno. efectivamente despues de entrevistarme con los usuarios
propietarios de las cuentas que me estaban mostrando esa actividad, me
comentaron que hace pocos dias cambiaron su password por uno mas facil
de recordar (pusieron como password el mismo nombre de usuario).
Despues de respirar profundamente por unos minutos pensando
recordarles quien es la madre que los pario y a que se dedicaba, les
pedi el favor sutilmente que cambiaran el password nuevamente con las
condiciones requeridas por la empresa (de las cuales la primera es que
sea facil de recordar pero dificil de adivinar).
Gracias a todos por su ayuda.
caso cerrado :)
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein
El día 22 de mayo de 2009 15:23, kazabe <kazabe en gmail.com> escribió:
> Hola.
>
> Todos las conexiones que puedan relacionarse con envio de spam,
> aparecen en los logs de roundcube. Es por eso que lo tengo como
> primer sospechoso.
>
> Debido a que varios usuarios del tipo "delicado" acceden por medio del
> webmail, la opcion de quitarlo asi sea temporalmente es el ultimo
> recurso que quiero agotar. Hablo de usuarios que no atienen
> explicaciones, entonces prefiero no crear mas tension en el ambiente.
>
> El problema de spam lo tengo temporalmente controlado bloqueando las
> IPs raras de origen. Se que no es una solucion,. pero por lo menos
> mantiene el problema "controlado" mientras lo soluciono.
>
> Ya he posteado en los foros de roundcube, pero aun no obtengo respuesta.
>
> En cuanto a la opcion que mi servidor sea open-relay, he realizado
> varias pruebas y puedo garantizar que es seguro.
>
> la autenticacion para todos los usuarios es por tls. El servidor no
> confia en ninguna red (por eso tengo el parametro my_networks en
> blanco). Tambien uso RBL.
>
> Acabo de implementar una politica que espero contenga el problema
> mientras descarto definitivamente si es roundcube el responsable. he
> agregado la politica "undisclosed_recipients_header = " con lo cual
> espero desactivar la opcion de que pueda enviarse mensajes desde mi
> servidor a esa clase de destinos.
>
> Hace tres horas que la puse ese parametro y hasta este momento no veo
> ninguna actividad sospechosa.
>
> Les estare contando como me va.
>
> saludos
>
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>
>
>
> El día 22 de mayo de 2009 14:56, David Gonzalez <david en delpozo.org> escribió:
>> Estas seguro de que el problema es el roundcube? los mails que manda el
>> roundcube tienen como origen la ip 127.0.0.1 si esta en la misma maquina que
>> el postfix, no cada vez desde un sitio distinto, no obstante, haz una prueba
>> rapida: QUITALO. cambia el nombre de la carpeta en la que este puesto y a ver
>> que ocurre.
>>
>> cambia el password de esas cuentas que estan usando, por cierto, qué metodo
>> usas para autentificar a los usuarios?
>>
>> Mirate en la web de roundcube/pregunta en sus listas para ver si existe la
>> posibilidad de que haya un ataque remoto
>>
>> has verificado que tu servidor no sea un open-relay??
>>
>>
>>
>> On Friday 22 May 2009 18:50:31 kazabe wrote:
>>> El origen del correo no es con la red local. y se esta presentando con
>>> varias cuentas de manera aleatoria.
>>>
>>> que medidas de seguridad adicionales puedo tomar en postfix para
>>> prevenir cualquier intento de uso del webmail como via para generar
>>> spam?
>>>
>>> Saludos.
>>>
>>> «Existen dos cosas infinitas:
>>> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
>>> Albert Einstein
>>>
>>>
>>>
>>> El día 22 de mayo de 2009 11:34, David Martínez
>>>
>>> <dmartinez en cobraperu.com.pe> escribió:
>>> > Como te digo a mí me paso y aún no se como ha sido, la solución fue
>>> > cambiar la cuenta de correo.
>>> >
>>> > De hecho estoy convencido que si hoy vuelvo a crear esa cuenta de correo
>>> > que esta "pirateada" vuelvo a tener el problema.
>>> >
>>> > Revisa el mail.log y ahí te puedes dar cuenta con que usuario están
>>> > mandando dichos correos. Puede que sea simplemente un troyano en la
>>> > computadora que tiene el correo y toma la configuración del Outlook para
>>> > mandar sus correos.
>>> >
>>> > DMG
>>> >
>>> > -----Mensaje original-----
>>> > De: postfix-es-bounces en lists.wl0.org
>>> > [mailto:postfix-es-bounces en lists.wl0.org] En nombre de kazabe
>>> > Enviado el: Viernes, 22 de Mayo de 2009 11:13 a.m.
>>> > Para: postfix-es en lists.wl0.org
>>> > Asunto: Re: [postfix-es] Roundcube me convirtio en openrelay :(
>>> >
>>> > Holas.
>>> >
>>> > Esta es mi configuracion:
>>> >
>>> > postconf -n
>>> > alias_database = hash:/etc/aliases
>>> > alias_maps = hash:/etc/aliases
>>> > append_dot_mydomain = no
>>> > biff = no
>>> > broken_sasl_auth_clients = yes
>>> > config_directory = /etc/postfix
>>> > content_filter = smtp-amavis:[127.0.0.1]:10024
>>> > delay_warning_time = 4h
>>> > home_mailbox = Maildir/
>>> > inet_interfaces = all
>>> > mailbox_command = /usr/bin/maildrop
>>> > mailbox_size_limit = 0
>>> > message_size_limit = 10485760
>>> > mydestination = midominio.com, localhost.midominio.com, localhost
>>> > myhostname = midominio.com
>>> > mynetworks =
>>> > recipient_delimiter = +
>>> > relayhost =
>>> > smtp_tls_note_starttls_offer = yes
>>> > smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
>>> > smtp_use_tls = yes
>>> > smtpd_banner = SMTP midominio (MailSRV.midominio.com)
>>> > smtpd_client_restrictions = permit_mynetworks, reject_rbl_client
>>> > bl.spamcop.net reject_rbl_client sbl.spamhaus.org
>>> > reject_rbl_client relay.ordb.org reject_rbl_client
>>> > opm.blitzed.org reject_rbl_client list.dsbl.org
>>> > smtpd_discard_ehlo_keywords = silent-discard, dsn
>>> > smtpd_recipient_restrictions =
>>> > permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
>>> > smtpd_sasl_auth_enable = yes
>>> > smtpd_sasl_local_domain =
>>> > smtpd_sasl_security_options = noanonymous
>>> > smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
>>> > smtpd_tls_auth_only = no
>>> > smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
>>> > smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
>>> > smtpd_tls_loglevel = 1
>>> > smtpd_tls_received_header = yes
>>> > smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
>>> > smtpd_tls_session_cache_timeout = 3600s
>>> > smtpd_use_tls = yes
>>> > tls_random_source = dev:/dev/urandom
>>> > unknown_local_recipient_reject_code = 550
>>> >
>>> > Como pueden entonces estar enviando correos con mis usuarios desde
>>> > direcciones remotas, si todos tienen que estar autenticados? aun los
>>> > locales!!!!!!!!!!!
>>> >
>>> > saludos
>>> >
>>> > «Existen dos cosas infinitas:
>>> > el universo y la estupidez humana... y no estoy muy seguro de la primera»
>>> > : Albert Einstein
>>> >
>>> >
>>> >
>>> > El día 22 de mayo de 2009 9:35, David Figuera
>>> >
>>> > <dave2k8-pfxes en brookei.es> escribió:
>>> >> kazabe wrote:
>>> >>> Holas.
>>> >>>
>>> >>> Hace unos dias comence a notar que los correos de mi servidor estaban
>>> >>> tardando demasiado en entregarse. Al revisar las colas, encuentro que
>>> >>> hay demasiados mensajes acumulados, de los cuales el 100% no provienen
>>> >>> de mis usuarios.
>>> >>>
>>> >>> Miro los logs de roundcube y encuentro esto:
>>> >>>
>>> >>> [21-May-2009 08:37:54 -0500]: User valid.user en localhost
>>> >>> [75.126.32.187]; Message for undisclosed-recipients:;; 250: 2.0.0 Ok:
>>> >>> queued as C8E55A4844B
>>> >>>
>>> >>> He bloqueado esa IP 75.126.32.187, pero esa no es una solucion real.
>>> >>> Como puedo evitar que me usen el roundcube para enviar spam? tengo la
>>> >>> ultima version y el postfix configurado para no permitir el relay.
>>> >>
>>> >> "valid.user", ¿es un usuario real?
>>> >> Una solución inmediata, es retirar la opción permit_mynetworks de
>>> >> smtp_*_restrictions y asegurarte de que todas las aplicaciones que
>>> >> envían correo a través de tu smtpd lo hagan identificándose con SASL.
>>> >>
>>> >> _______________________________________________
>>> >> List de correo postfix-es para tratar temas del MTA postfix en español
>>> >> postfix-es en lists.wl0.org
>>> >> http://lists.wl0.org/mailman/listinfo/postfix-es
>>> >
>>> > _______________________________________________
>>> > List de correo postfix-es para tratar temas del MTA postfix en español
>>> > postfix-es en lists.wl0.org
>>> > http://lists.wl0.org/mailman/listinfo/postfix-es
>>> >
>>> > --
>>> > Este mensaje ha sido analizado por MailScanner
>>> > en busca de virus y otros contenidos peligrosos,
>>> > y se considera que está limpio.
>>> > For all your IT requirements visit: http://www.transtec.co.uk
>>> >
>>> >
>>> > --
>>> > Este mensaje ha sido analizado por MailScanner
>>> > en busca de virus y otros contenidos peligrosos,
>>> > y se considera que está limpio.
>>> > For all your IT requirements visit: http://www.transtec.co.uk
>>> >
>>> > _______________________________________________
>>> > List de correo postfix-es para tratar temas del MTA postfix en español
>>> > postfix-es en lists.wl0.org
>>> > http://lists.wl0.org/mailman/listinfo/postfix-es
>>>
>>> _______________________________________________
>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>> postfix-es en lists.wl0.org
>>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>>
>>
>> --
>> David Gonzalez
>>
>> david en delpozo.org
>> Http://www.guadawireless.net
>> GNU/Linux registered user #139902
>> jabber: david en jabber.guadawireless.org
>>
>> Enlace a un proyecto que tengo en marcha:
>>
>> http://buscadorhoteles.biz
>>
>>
>
More information about the postfix-es
mailing list