[postfix-es] [SOLUCIONADO] Re: Roundcube me convirtio en openrelay :(
Federico Alberto Sayd
fsayd en uncu.edu.ar
Mie Mayo 27 16:22:49 CEST 2009
kazabe escribió:
> bueno. efectivamente despues de entrevistarme con los usuarios
> propietarios de las cuentas que me estaban mostrando esa actividad, me
> comentaron que hace pocos dias cambiaron su password por uno mas facil
> de recordar (pusieron como password el mismo nombre de usuario).
>
> Despues de respirar profundamente por unos minutos pensando
> recordarles quien es la madre que los pario y a que se dedicaba, les
> pedi el favor sutilmente que cambiaran el password nuevamente con las
> condiciones requeridas por la empresa (de las cuales la primera es que
> sea facil de recordar pero dificil de adivinar).
>
> Gracias a todos por su ayuda.
>
> caso cerrado :)
>
>
>
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>
>
>
> El día 22 de mayo de 2009 15:23, kazabe <kazabe en gmail.com> escribió:
>
>> Hola.
>>
>> Todos las conexiones que puedan relacionarse con envio de spam,
>> aparecen en los logs de roundcube. Es por eso que lo tengo como
>> primer sospechoso.
>>
>> Debido a que varios usuarios del tipo "delicado" acceden por medio del
>> webmail, la opcion de quitarlo asi sea temporalmente es el ultimo
>> recurso que quiero agotar. Hablo de usuarios que no atienen
>> explicaciones, entonces prefiero no crear mas tension en el ambiente.
>>
>> El problema de spam lo tengo temporalmente controlado bloqueando las
>> IPs raras de origen. Se que no es una solucion,. pero por lo menos
>> mantiene el problema "controlado" mientras lo soluciono.
>>
>> Ya he posteado en los foros de roundcube, pero aun no obtengo respuesta.
>>
>> En cuanto a la opcion que mi servidor sea open-relay, he realizado
>> varias pruebas y puedo garantizar que es seguro.
>>
>> la autenticacion para todos los usuarios es por tls. El servidor no
>> confia en ninguna red (por eso tengo el parametro my_networks en
>> blanco). Tambien uso RBL.
>>
>> Acabo de implementar una politica que espero contenga el problema
>> mientras descarto definitivamente si es roundcube el responsable. he
>> agregado la politica "undisclosed_recipients_header = " con lo cual
>> espero desactivar la opcion de que pueda enviarse mensajes desde mi
>> servidor a esa clase de destinos.
>>
>> Hace tres horas que la puse ese parametro y hasta este momento no veo
>> ninguna actividad sospechosa.
>>
>> Les estare contando como me va.
>>
>> saludos
>>
>> «Existen dos cosas infinitas:
>> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
>> Albert Einstein
>>
>>
>>
>> El día 22 de mayo de 2009 14:56, David Gonzalez <david en delpozo.org> escribió:
>>
>>> Estas seguro de que el problema es el roundcube? los mails que manda el
>>> roundcube tienen como origen la ip 127.0.0.1 si esta en la misma maquina que
>>> el postfix, no cada vez desde un sitio distinto, no obstante, haz una prueba
>>> rapida: QUITALO. cambia el nombre de la carpeta en la que este puesto y a ver
>>> que ocurre.
>>>
>>> cambia el password de esas cuentas que estan usando, por cierto, qué metodo
>>> usas para autentificar a los usuarios?
>>>
>>> Mirate en la web de roundcube/pregunta en sus listas para ver si existe la
>>> posibilidad de que haya un ataque remoto
>>>
>>> has verificado que tu servidor no sea un open-relay??
>>>
>>>
>>>
>>> On Friday 22 May 2009 18:50:31 kazabe wrote:
>>>
>>>> El origen del correo no es con la red local. y se esta presentando con
>>>> varias cuentas de manera aleatoria.
>>>>
>>>> que medidas de seguridad adicionales puedo tomar en postfix para
>>>> prevenir cualquier intento de uso del webmail como via para generar
>>>> spam?
>>>>
>>>> Saludos.
>>>>
>>>> «Existen dos cosas infinitas:
>>>> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
>>>> Albert Einstein
>>>>
>>>>
>>>>
>>>> El día 22 de mayo de 2009 11:34, David Martínez
>>>>
>>>> <dmartinez en cobraperu.com.pe> escribió:
>>>>
>>>>> Como te digo a mí me paso y aún no se como ha sido, la solución fue
>>>>> cambiar la cuenta de correo.
>>>>>
>>>>> De hecho estoy convencido que si hoy vuelvo a crear esa cuenta de correo
>>>>> que esta "pirateada" vuelvo a tener el problema.
>>>>>
>>>>> Revisa el mail.log y ahí te puedes dar cuenta con que usuario están
>>>>> mandando dichos correos. Puede que sea simplemente un troyano en la
>>>>> computadora que tiene el correo y toma la configuración del Outlook para
>>>>> mandar sus correos.
>>>>>
>>>>> DMG
>>>>>
>>>>> -----Mensaje original-----
>>>>> De: postfix-es-bounces en lists.wl0.org
>>>>> [mailto:postfix-es-bounces en lists.wl0.org] En nombre de kazabe
>>>>> Enviado el: Viernes, 22 de Mayo de 2009 11:13 a.m.
>>>>> Para: postfix-es en lists.wl0.org
>>>>> Asunto: Re: [postfix-es] Roundcube me convirtio en openrelay :(
>>>>>
>>>>> Holas.
>>>>>
>>>>> Esta es mi configuracion:
>>>>>
>>>>> postconf -n
>>>>> alias_database = hash:/etc/aliases
>>>>> alias_maps = hash:/etc/aliases
>>>>> append_dot_mydomain = no
>>>>> biff = no
>>>>> broken_sasl_auth_clients = yes
>>>>> config_directory = /etc/postfix
>>>>> content_filter = smtp-amavis:[127.0.0.1]:10024
>>>>> delay_warning_time = 4h
>>>>> home_mailbox = Maildir/
>>>>> inet_interfaces = all
>>>>> mailbox_command = /usr/bin/maildrop
>>>>> mailbox_size_limit = 0
>>>>> message_size_limit = 10485760
>>>>> mydestination = midominio.com, localhost.midominio.com, localhost
>>>>> myhostname = midominio.com
>>>>> mynetworks =
>>>>> recipient_delimiter = +
>>>>> relayhost =
>>>>> smtp_tls_note_starttls_offer = yes
>>>>> smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
>>>>> smtp_use_tls = yes
>>>>> smtpd_banner = SMTP midominio (MailSRV.midominio.com)
>>>>> smtpd_client_restrictions = permit_mynetworks, reject_rbl_client
>>>>> bl.spamcop.net reject_rbl_client sbl.spamhaus.org
>>>>> reject_rbl_client relay.ordb.org reject_rbl_client
>>>>> opm.blitzed.org reject_rbl_client list.dsbl.org
>>>>> smtpd_discard_ehlo_keywords = silent-discard, dsn
>>>>> smtpd_recipient_restrictions =
>>>>> permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
>>>>> smtpd_sasl_auth_enable = yes
>>>>> smtpd_sasl_local_domain =
>>>>> smtpd_sasl_security_options = noanonymous
>>>>> smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
>>>>> smtpd_tls_auth_only = no
>>>>> smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
>>>>> smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
>>>>> smtpd_tls_loglevel = 1
>>>>> smtpd_tls_received_header = yes
>>>>> smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
>>>>> smtpd_tls_session_cache_timeout = 3600s
>>>>> smtpd_use_tls = yes
>>>>> tls_random_source = dev:/dev/urandom
>>>>> unknown_local_recipient_reject_code = 550
>>>>>
>>>>> Como pueden entonces estar enviando correos con mis usuarios desde
>>>>> direcciones remotas, si todos tienen que estar autenticados? aun los
>>>>> locales!!!!!!!!!!!
>>>>>
>>>>> saludos
>>>>>
>>>>> «Existen dos cosas infinitas:
>>>>> el universo y la estupidez humana... y no estoy muy seguro de la primera»
>>>>> : Albert Einstein
>>>>>
>>>>>
>>>>>
>>>>> El día 22 de mayo de 2009 9:35, David Figuera
>>>>>
>>>>> <dave2k8-pfxes en brookei.es> escribió:
>>>>>
>>>>>> kazabe wrote:
>>>>>>
>>>>>>> Holas.
>>>>>>>
>>>>>>> Hace unos dias comence a notar que los correos de mi servidor estaban
>>>>>>> tardando demasiado en entregarse. Al revisar las colas, encuentro que
>>>>>>> hay demasiados mensajes acumulados, de los cuales el 100% no provienen
>>>>>>> de mis usuarios.
>>>>>>>
>>>>>>> Miro los logs de roundcube y encuentro esto:
>>>>>>>
>>>>>>> [21-May-2009 08:37:54 -0500]: User valid.user en localhost
>>>>>>> [75.126.32.187]; Message for undisclosed-recipients:;; 250: 2.0.0 Ok:
>>>>>>> queued as C8E55A4844B
>>>>>>>
>>>>>>> He bloqueado esa IP 75.126.32.187, pero esa no es una solucion real.
>>>>>>> Como puedo evitar que me usen el roundcube para enviar spam? tengo la
>>>>>>> ultima version y el postfix configurado para no permitir el relay.
>>>>>>>
>>>>>> "valid.user", ¿es un usuario real?
>>>>>> Una solución inmediata, es retirar la opción permit_mynetworks de
>>>>>> smtp_*_restrictions y asegurarte de que todas las aplicaciones que
>>>>>> envían correo a través de tu smtpd lo hagan identificándose con SASL.
>>>>>>
>>>>>> _______________________________________________
>>>>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>>>>> postfix-es en lists.wl0.org
>>>>>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>>>>>
>>>>> _______________________________________________
>>>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>>>> postfix-es en lists.wl0.org
>>>>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>>>>
>>>>> --
>>>>> Este mensaje ha sido analizado por MailScanner
>>>>> en busca de virus y otros contenidos peligrosos,
>>>>> y se considera que está limpio.
>>>>> For all your IT requirements visit: http://www.transtec.co.uk
>>>>>
>>>>>
>>>>> --
>>>>> Este mensaje ha sido analizado por MailScanner
>>>>> en busca de virus y otros contenidos peligrosos,
>>>>> y se considera que está limpio.
>>>>> For all your IT requirements visit: http://www.transtec.co.uk
>>>>>
>>>>> _______________________________________________
>>>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>>>> postfix-es en lists.wl0.org
>>>>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>>>>
>>>> _______________________________________________
>>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>>> postfix-es en lists.wl0.org
>>>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>>>
>>>
>>> --
>>> David Gonzalez
>>>
>>> david en delpozo.org
>>> Http://www.guadawireless.net
>>> GNU/Linux registered user #139902
>>> jabber: david en jabber.guadawireless.org
>>>
>>> Enlace a un proyecto que tengo en marcha:
>>>
>>> http://buscadorhoteles.biz
>>>
>>>
>>>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
>
A mi me pasó pero con un correo tipo pishing donde pedían a nombre de la
administración del correo electrónico el usuario y la contraseña. Varios
usuarios hicieron caso al correo (pese a ser una pésima traducción
automática al español) y luego enviaron de forma automatizada spam desde
el webmail. Hay un captcha para agregar a la autenticación de
squirrelmail pero me parece engorroso agregarlo, pero si los usuarios no
aprenden a pesar de las advertencias...
Saludos
More information about the postfix-es
mailing list