[postfix-es] RV: SPAM @qq.com
Carina Barca
cbarca en jujuytel.com.ar
Jue Ene 24 19:25:25 CET 2013
-----Mensaje original-----
De: Carina Barca [mailto:cbarca en jujuytel.com.ar]
Enviado el: jueves, 24 de enero de 2013 03:04 p.m.
Para: 'Sergio Bastian Rodríguez'
Asunto: RE: [postfix-es] SPAM @qq.com
Sergio, ya tengo identificadas las cuentas, todas mandan mails a @qq.com y a veces a
@168.com.
No son de mi red interna.
Ya hice la prueba de cambiar la clave y al poco tiempo comienza de nuevo el spam.
No entiendo porque no funciona el bloqueo de mandar o recibir mails por dominios.
Saludos
-----Mensaje original-----
De: Sergio Bastian Rodríguez [mailto:sbastian en telecable.com] Enviado el: jueves, 24 de
enero de 2013 12:39 p.m.
Para: Carina Barca
Asunto: RE: [postfix-es] SPAM @qq.com
Busca las cuentas origen, las que envían el SPAM, y los equipos desde donde se envían los
correos. Si son de tu red pásales un antivirus, hazles un chequeo Online del equipo, los
hay gratuitos nosotros tenemos uno :-) , y cámbiales la contraseña de envío, porque
obligas a autenticar para realizar envío verdad??? Si no son de tu red bloquéales el
acceso por IP:
....
Reject_mynetworks
....
_____________________________________________________________
Sergio Bastián Rodríguez
Servicios y Arquitectura de Red -
Servicios de Conectibidad y Datacenter
TeleCable,SA
+34 984 191 265 / +34 684 696 309
sbastian en telecable.com
C/ Profesor Potter 190 - PCT Gijón 33203
_____________________________________________________________
-----Mensaje original-----
De: Carina Barca [mailto:cbarca en jujuytel.com.ar] Enviado el: jueves, 24 de enero de 2013
16:22
Para: Sergio Bastian Rodríguez
Asunto: RE: [postfix-es] SPAM @qq.com
Hola Sergio, gracias por tu ayuda, parece haber funcionado asi, en el mailgraph veo que
bajo el trafico de spam, aunque sigo viendo logs en el mail.log
Jan 24 12:13:22 mail amavis[11218]: (11218-17) Blocked SPAM, [112.67.80.113]
[112.67.80.113] <mimail en midominio.com.ar> -> <1175120913 en qq.com>,<1197070576 en qq.com>,$
Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<1175120913 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent (2$
Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<1197070576 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent (2$
Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<136249192 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent
(25$ Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<1392199274 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent (2$
Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<1499069982 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent (2$
Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<2218242458 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent (2$
Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<2427041379 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent (2$
Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<2622093252 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent (2$
Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<577070462 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent
(25$ Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<659140203 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent
(25$ Jan 24 12:13:22 mail postfix/smtp[11340]: 79E875FD04: to=<929061418 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=21/0/0/0.11, dsn=2.7.0, status=sent
(25$ Jan 24 12:13:22 mail postfix/qmgr[11110]: 79E875FD04: removed
No se que mas hacer....
Saludos
-----Mensaje original-----
De: Sergio Bastian Rodríguez [mailto:sbastian en telecable.com] Enviado el: jueves, 24 de
enero de 2013 05:17 a.m.
Para: Carina Barca; postfix-es en lists.wl0.org
Asunto: RE: [postfix-es] SPAM @qq.com
Yo en la configuración de Postfix (main.cf) tengo lo siguiente:
smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/sender_access
Luego en el archivo bloqueo los dominios en salida:
.....
loquesea.com OK
algo en tururu.com REJECT
sales@ REJECT
.....
Los mensajes quedan retenidos en salida.
Saludos.
_____________________________________________________________
-----Mensaje original-----
De: postfix-es [mailto:postfix-es-bounces+sbastian=telecable.com en lists.wl0.org] En nombre
de Carina Barca Enviado el: miércoles, 23 de enero de 2013 23:16
Para: postfix-es en lists.wl0.org
Asunto: [postfix-es] SPAM @qq.com
Hola a todos: tengo configurado un servidor de correo electronico
postfix+dovecot+spamassasin+clamav, el cual en los logs detecto que
postfix+dovecot+spamassasin+hasta ahora van 4
cuentas de correo envian mail a qq.com o 168.com
Jan 23 18:50:15 mail postfix/qmgr[3772]: BA7E7D9EDE: from=<micorreo en midominio.com.ar>,
size=2091, nrcpt=11 (queue active) Jan 23 18:50:15 mail amavis[5550]: (05550-19) Blocked
SPAM, [58.61.196.237] [58.61.196.237] <micorreo en midominio.com.ar> ->
<1375150443 en qq.com>,<1576166770 en qq.com>,<$
Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<1375150443 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(25$ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<1576166770 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(25$ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<1664050283 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(25$ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<1758056014 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(25$ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<2309102464 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(25$ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<277210112 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(250$ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<36147740 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(250 $ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<469076755 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(250$ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<499236938 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(250$ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<583033679 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(250$ Jan 23 18:50:15 mail postfix/smtp[5601]: BA7E7D9EDE: to=<924107967 en qq.com>,
relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=14/0/0/0.11, dsn=2.7.0, status=sent
(250$ Jan 23 18:50:15 mail postfix/qmgr[3772]: BA7E7D9EDE: removed
Esto me genera un monton de trafico con el consiguiente riesgo de que me bloqueen en las
listas negras de spam.
El comando postconf -n me tira lo siguiente
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024 inet_interfaces = all inet_protocols = all
mailbox_command = mailbox_size_limit = 0 mydestination = localhost, $myhostname myhostname
= mail.jujuytel.com.ar mynetworks = 127.0.0.0/8 [::1]/128 192.168.0.0/24 xxx.xx.xx.0/24
mynetworks_style = host myorigin = $myhostname readme_directory = no recipient_delimiter =
+ relay_domains = mysql:/etc/postfix/mysql_relay_domains.cf
relayhost =
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,reject_rbl_client
bl.spamcop.net,reject_rbl_client zen.spamhaus.org,reject_rbl_client
sbl-xbl.spamhaus.org,reject_rbl_client dnsbl-1.uceprotect.net,check_recipient_access
hash:/etc/postfix/recipient_access,reject_unauth_destination,regexp:/etc/postfix/bloqueado
s,check_policy_service inet:127.0.0.1:60000,permit smtpd_reject_unlisted_recipient = yes
smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_security_options =
noanonymous smtpd_sasl_type = dovecot smtpd_sender_restrictions =
regexp:/etc/postfix/bloqueados smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = hash:/etc/postfix/transport virtual_alias_maps =
mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/vmail
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_mailbox_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_transport = dovecot
virtual_uid_maps = static:5000
La version del postfix
mail_version = 2.7.1
Y esta instalado desde los repositorios de debían (Utilizo el squeeze) Como veran intente
bloquear ese dominio sin éxito, sigo teniendo mucho tráfico.
Lo que pude averiguar es que esto es un gusano que lo que hace es enviar spam utilizando
los dominios qq.com y 168.com, como hago para que mis usuarios no envien esos mail?
Muchas gracias
Saludos
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
postfix-es en lists.wl0.org http://lists.wl0.org/mailman/listinfo/postfix-es
------------------------------------------------------------------------
Por favor, antes de imprimir este correo, valore si es estrictamente necesario. La
naturaleza y el medio ambiente lo agradecerán.
------------------------------------------------------------------------
Le informamos, como destinatario de este mensaje, que el correo electrónico y las
comunicaciones por medio de Internet no permiten asegurar ni garantizar la
confidencialidad de los mensajes transmitidos, así como tampoco su integridad o su
correcta recepción, por lo que TELECABLE DE ASTURIAS, S.A.U no asume responsabilidad
alguna por tales circunstancias.
Si no consintiese en la utilización del correo electrónico o de las comunicaciones vía
Internet le rogamos nos lo comunique y ponga en nuestro conocimiento de manera inmediata.
Este mensaje va dirigido, de manera exclusiva, a su destinatario y contiene información
confidencial y sujeta al secreto profesional, cuya divulgación no está permitida por la
ley. En caso de haber recibido este mensaje por error, le rogamos que, de forma inmediata,
nos lo comunique mediante correo electrónico remitido a nuestra atención o a través del
teléfono (+ 34) 984191000 y proceda a su eliminación, así como a la de cualquier documento
adjunto al mismo. Asimismo, le comunicamos que la distribución, copia o utilización de
este mensaje, o de cualquier documento adjunto al mismo, cualquiera que fuera su
finalidad, están prohibidas por la ley.
------------------------------------------------------------------------
------------------------------------------------------------------------
Por favor, antes de imprimir este correo, valore si es estrictamente necesario. La
naturaleza y el medio ambiente lo agradecerán.
------------------------------------------------------------------------
Le informamos, como destinatario de este mensaje, que el correo electrónico y las
comunicaciones por medio de Internet no permiten asegurar ni garantizar la
confidencialidad de los mensajes transmitidos, así como tampoco su integridad o su
correcta recepción, por lo que TELECABLE DE ASTURIAS, S.A.U no asume responsabilidad
alguna por tales circunstancias.
Si no consintiese en la utilización del correo electrónico o de las comunicaciones vía
Internet le rogamos nos lo comunique y ponga en nuestro conocimiento de manera inmediata.
Este mensaje va dirigido, de manera exclusiva, a su destinatario y contiene información
confidencial y sujeta al secreto profesional, cuya divulgación no está permitida por la
ley. En caso de haber recibido este mensaje por error, le rogamos que, de forma inmediata,
nos lo comunique mediante correo electrónico remitido a nuestra atención o a través del
teléfono (+ 34) 984191000 y proceda a su eliminación, así como a la de cualquier documento
adjunto al mismo. Asimismo, le comunicamos que la distribución, copia o utilización de
este mensaje, o de cualquier documento adjunto al mismo, cualquiera que fuera su
finalidad, están prohibidas por la ley.
------------------------------------------------------------------------
Más información sobre la lista de distribución postfix-es