[postfix-es] intento de spam desde mi servidor??

Jose Alberto j.sejo1 en gmail.com
Lun Nov 17 03:02:43 CET 2014 

Si no eres OpenRelay y no te han pillado ninguna clave de usuario o no
tienes como 30mil correos en colas, el error debe ser otra cosa.

Estas en listas negras?

Apoyate con fail2ban para bloquear los intentos de autenticacion.

Mensajes encolados?



2014-11-15 11:39 GMT-04:30 walter <iqsistemas en gmail.com>:

> Buenas..... a ver si logro explicarme
> servidor postfix+dovecot+clamav+spamassasin (150 usuarios + -)
>
>  recibo esto desde mi postfix   a: MAILER-DAEMON en mail.miempresa.com.ar
> lo siguiente:
>
>
> Transcript of session follows.
>
>  Out: 220 mail.miempresa.com.ar ESMTP Postfix (GNU/Linux)
>  In:  2545 CAPABILITY
>  Out: 502 5.5.2 Error: command not recognized
>  In:  2546 NOOP
>  Out: 502 5.5.2 Error: command not recognized
>
> Session aborted, reason: lost connection
>
> For other details, see the local mail logfile
>
> alrededor de 2500 mensajes por dia..a 3000 de algunas pocas IP
> entre ellas una ip de un proveedor de proveedores de internet...
> bien.... intente bloquerlas por IPTABLES
> Las IP varian, pero en el dia puedo recibir a distintas horas de la misma
> IP
>
>
> iptables -I INPUT -s IP_a_Bloquear -j DROP
>
> tambien probe con .... en los puerto 80 ..110  ..25
>
> iptables -A INPUT -p tcp -s IP_a_Bloquear  --dport 80 -j REJECT
>
>
> iptables -i eth(Xplaca-red) -A INPUT -s IP_a_Bloquear -j DROP
>
>
> pero nada...... no logro... resultados...
>
> tambien tengo logcheck instalado.. pero no me da datos que mirar....
> fail2ban... para bloquear... rkhunter para explorar el sistema (y nada)
>
> esto veo como ejemplo de una de las IP  en mail.log
>
> Nov 15 00:07:43 mail postfix/smtpf[nun pid] :connect from unknown [IP]
>
> Nov 15 00:12:43 mail postfix/smtpf[nun pid] : timeout after unknown
> [lamismaIP]
>
> Nov 15 00:12:43 mail postfix/smtpf[nun pid] :disconnect from unknown
> [lamismaIP]
>
> puede variar en alguna  :
>
> Nov 15 00:12:43 mail postfix/smtpf[nun pid] : lost connection after
> unknown  [lamismaIP]
>
>
> bien.... que puedo hacer.....
> ni siquiera detecto si esta intentando con algun usuario real....
>
> con Logwatch  y esta misma IP
>
> From 181.119.58.179 - 4 packets
>        To IP_de_mi_servidor - 4 packets
>
>
> bien... con estos datos....la pregunta seria....
> que puedo hacer????
>
>
> Muchas Gracias , por el tiempo que se tomaron en leer!!
>
> Saludos y Gracias!!
>
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>



-- 
#############################
#   Sistema Operativo: Debian      #
#        Caracas, Venezuela          #
#############################
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20141116/91496d9c/attachment.html>

Más información sobre la lista de distribución postfix-es