[postfix-es] Ataque Postfix.
Carlos Martinez
camarti en gmail.com
Vie Jul 4 17:59:19 CEST 2014
Saludos.
2014-07-04 6:21 GMT-05:00 Wilmer Arambula <tecnologiaterabyte en gmail.com>:
> Buenos dias lista tengo muchos mensajes en el log de postfix:
>
> Jul 3 23:20:05 server postfix/smtp[26576]: 53EB336C41DD: to=<
> karla.2819 en hotmial.com>, relay=none, delay=23680, delays=23649/0.61/30/0,
> dsn=4.4.1, status=deferred (connect to hotmial.com[64.99.64.37]:25:
> Connection timed out)
> Jul 4 00:29:34 server postfix/qmgr[1306]: 53EB336C41DD: from=<
> apache en server.prueba.com>, size=3818, nrcpt=1 (queue active)
> Jul 4 00:30:05 server postfix/smtp[26925]: connect to hotmial.com[64.99.64.37]:25:
> Connection timed out
>
Este segmento de log no dice gran cosa:
1) Postfix intenta conectar al mx de hotmial.com (note que el dominio está
mal escrito)
2) el mx de hotmial.com no responde
3) Postfix va a intentar mas tarde
4) El correo viene server.prueba.com
Falta saber lo siguiente:
1) Dónde está server.prueba.com
2) Qué hay corriendo en server.prueba.com (cómo se mandó el correo)
3) ¿Hay muchos correos en la cola?
4) ¿Está el servidor reportado en listas negras?
5) Manejas autenticación de SMTP
6) ¿En server.prueba hay una aplicación web con un formulario para el envío
de correos mal diseñado/programado?
7) ¿server.prueba hace parta de tu plataforma?
Fail2ban en este caso no sirve de gran cosa. Se usa (lo he usado) para
bloquear fallos en la autenticación SMTP; no para bloquear envíos de correo
masivo.
>
> Creo que están intentando mandar correos desde el servidor alguna
> sugerencia, tengo fail2ban funcionando,
>
> Saludos,
>
>
>
Atte.,
Carlos Andrés Martínez
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20140704/4da647ff/attachment.html>
Más información sobre la lista de distribución postfix-es