[postfix-es] SPAM @qq.com

Joseba Torre joseba.torre en ehu.es
Jue Ene 24 09:29:55 CET 2013 

El 24/01/13 09:21, Joseba Torre escribió:
> El 23/01/13 23:15, Carina Barca escribió:
>> Hola a todos: tengo configurado un servidor de correo electronico
>> postfix+dovecot+spamassasin+clamav, el cual en los logs detecto que
>> hasta ahora van 4 cuentas de correo envian mail a qq.com o 168.com
>>
>> Jan 23 18:50:15 mail postfix/qmgr[3772]: BA7E7D9EDE:
>> from=<micorreo en midominio.com.ar>, size=2091, nrcpt=11 (queue active)
>> Jan 23 18:50:15 mail amavis[5550]: (05550-19) Blocked SPAM,
>> [58.61.196.237] [58.61.196.237] <micorreo en midominio.com.ar> ->
>> <1375150443 en qq.com>,<1576166770 en qq.com>,<$
>> Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE:
>> to=<1375150443 en qq.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=14,
>> delays=14/0/0/0.11, dsn=2.7.0, status=sent (25$
>> Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE:
>> to=<1576166770 en qq.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=14,
>> delays=14/0/0/0.11, dsn=2.7.0, status=sent (25$
>> Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE:
>> to=<1664050283 en qq.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=14,
>> delays=14/0/0/0.11, dsn=2.7.0, status=sent (25$
>> Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE:
>> to=<1758056014 en qq.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=14,
>> delays=14/0/0/0.11, dsn=2.7.0, status=sent (25$
>
> Estos pueden venir de:
> - cuentas comprometidas (los spammers se han hecho con las credenciales)
> - equipos comprometidos
>
> En el fondo el problema es el mismo. Deberías localizar el origen de los
> envíos, y si envían haciendo smtp-auth o no; si es que sí, cambiar la
> password de las cuentas comprometidas, y en cualquier caso buscar
> malware en los equipos involucrados (los clientes, seguramente en tu
> servidor todo esté bien).
>
> Esto no es más que buscar por el ID de un mensaje malo, buscando líneas
> como
>
> Jan 21 16:08:48 server1 postfix/smtpd[16646]: 8D8A220088:
> client=u008529.example.com[10.34.9.39]
>
> (este es un equipo en mynetworks)
>
> o
>
> Jan 24 06:40:31 server2 postfix/smtpd[22041]: 6D6151FDD8:
> client=42.pool85-60-133.foo.bar[234.123.123.44], sasl_method=
> PLAIN, sasl_username=usuario1
>
> (este es un usuario comprometido)

Aclaración por si acaso: estas 2 líneas del log son perfectamente 
normales. Corresponden a usuarios o equipos comprometidos sólo si el ID 
del mensaje es de un mensaje que sabemos que es SPAM.

Más información sobre la lista de distribución postfix-es