[postfix-es] intento de spam desde mi servidor??
Rodrigo Nicolas Gliksberg Diaz
xdieamd en gmail.com
Lun Nov 17 12:12:34 CET 2014
Fíjate que es una botnet con ganas de openrelay. Deberías hacer un Script
que la valla detectando y bloqueando. Podes instalar fail2ban también.
Saludos
El nov 16, 2014 11:10 PM, "Jose Alberto" <j.sejo1 en gmail.com> escribió:
> Si no eres OpenRelay y no te han pillado ninguna clave de usuario o no
> tienes como 30mil correos en colas, el error debe ser otra cosa.
>
> Estas en listas negras?
>
> Apoyate con fail2ban para bloquear los intentos de autenticacion.
>
> Mensajes encolados?
>
>
>
> 2014-11-15 11:39 GMT-04:30 walter <iqsistemas en gmail.com>:
>
>> Buenas..... a ver si logro explicarme
>> servidor postfix+dovecot+clamav+spamassasin (150 usuarios + -)
>>
>> recibo esto desde mi postfix a: MAILER-DAEMON en mail.miempresa.com.ar
>> lo siguiente:
>>
>>
>> Transcript of session follows.
>>
>> Out: 220 mail.miempresa.com.ar ESMTP Postfix (GNU/Linux)
>> In: 2545 CAPABILITY
>> Out: 502 5.5.2 Error: command not recognized
>> In: 2546 NOOP
>> Out: 502 5.5.2 Error: command not recognized
>>
>> Session aborted, reason: lost connection
>>
>> For other details, see the local mail logfile
>>
>> alrededor de 2500 mensajes por dia..a 3000 de algunas pocas IP
>> entre ellas una ip de un proveedor de proveedores de internet...
>> bien.... intente bloquerlas por IPTABLES
>> Las IP varian, pero en el dia puedo recibir a distintas horas de la misma
>> IP
>>
>>
>> iptables -I INPUT -s IP_a_Bloquear -j DROP
>>
>> tambien probe con .... en los puerto 80 ..110 ..25
>>
>> iptables -A INPUT -p tcp -s IP_a_Bloquear --dport 80 -j REJECT
>>
>>
>> iptables -i eth(Xplaca-red) -A INPUT -s IP_a_Bloquear -j DROP
>>
>>
>> pero nada...... no logro... resultados...
>>
>> tambien tengo logcheck instalado.. pero no me da datos que mirar....
>> fail2ban... para bloquear... rkhunter para explorar el sistema (y nada)
>>
>> esto veo como ejemplo de una de las IP en mail.log
>>
>> Nov 15 00:07:43 mail postfix/smtpf[nun pid] :connect from unknown [IP]
>>
>> Nov 15 00:12:43 mail postfix/smtpf[nun pid] : timeout after unknown
>> [lamismaIP]
>>
>> Nov 15 00:12:43 mail postfix/smtpf[nun pid] :disconnect from unknown
>> [lamismaIP]
>>
>> puede variar en alguna :
>>
>> Nov 15 00:12:43 mail postfix/smtpf[nun pid] : lost connection after
>> unknown [lamismaIP]
>>
>>
>> bien.... que puedo hacer.....
>> ni siquiera detecto si esta intentando con algun usuario real....
>>
>> con Logwatch y esta misma IP
>>
>> From 181.119.58.179 - 4 packets
>> To IP_de_mi_servidor - 4 packets
>>
>>
>> bien... con estos datos....la pregunta seria....
>> que puedo hacer????
>>
>>
>> Muchas Gracias , por el tiempo que se tomaron en leer!!
>>
>> Saludos y Gracias!!
>>
>>
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>> postfix-es en lists.wl0.org
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>
>
>
> --
> #############################
> # Sistema Operativo: Debian #
> # Caracas, Venezuela #
> #############################
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20141117/966c0198/attachment.html>
Más información sobre la lista de distribución postfix-es