[postfix-es] SPAM @qq.com

Joseba Torre joseba.torre en ehu.es
Jue Ene 24 09:21:35 CET 2013 

El 23/01/13 23:15, Carina Barca escribió:
> Hola a todos: tengo configurado un servidor de correo electronico postfix+dovecot+spamassasin+clamav, el cual en los logs detecto que hasta ahora van 4 cuentas de correo envian mail a qq.com o 168.com
>
> Jan 23 18:50:15 mail postfix/qmgr[3772]: BA7E7D9EDE: from=<micorreo en midominio.com.ar>, size=2091, nrcpt=11 (queue active)
> Jan 23 18:50:15 mail amavis[5550]: (05550-19) Blocked SPAM, [58.61.196.237] [58.61.196.237] <micorreo en midominio.com.ar> -> <1375150443 en qq.com>,<1576166770 en qq.com>,<$
> Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<1375150443 en qq.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent (25$
> Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<1576166770 en qq.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent (25$
> Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<1664050283 en qq.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent (25$
> Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<1758056014 en qq.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent (25$

Estos pueden venir de:
- cuentas comprometidas (los spammers se han hecho con las credenciales)
- equipos comprometidos

En el fondo el problema es el mismo. Deberías localizar el origen de los 
envíos, y si envían haciendo smtp-auth o no; si es que sí, cambiar la 
password de las cuentas comprometidas, y en cualquier caso buscar 
malware en los equipos involucrados (los clientes, seguramente en tu 
servidor todo esté bien).

Esto no es más que buscar por el ID de un mensaje malo, buscando líneas como

Jan 21 16:08:48 server1 postfix/smtpd[16646]: 8D8A220088: 
client=u008529.example.com[10.34.9.39]

(este es un equipo en mynetworks)

o

Jan 24 06:40:31 server2 postfix/smtpd[22041]: 6D6151FDD8: 
client=42.pool85-60-133.foo.bar[234.123.123.44], sasl_method=
PLAIN, sasl_username=usuario1

(este es un usuario comprometido)

Por desgracia esto es bastante común hoy en día: algún malware infecta 
un equipo donde la configuración de correo está guardada con usuario y 
password y envía esta información a vete tú a saber dónde. Al de un 
tiempo, te encuentras que has enviado un par de millones de spams esa 
noche, y unos cuantos servidores de correo importantes te han bloqueado 
al menos un rato.

Más información sobre la lista de distribución postfix-es