[postfix-es] Problema envio spam
Robert J. Briones C.
robert.briones en gmail.com
Lun Abr 25 03:59:33 CEST 2016
Estimado,
he pasado por eso de que pillan una clave y la conexión es muy distinta, de
hecho dice el log con que usuario se han identificado, pero en este cado no
dice nada, solo dicen que se han conectado al localhost, y no al servidor
de correo, sospecho que un cliente debe tener un codigo malicioso (ya estoy
investigando eso), pero mi idea es preever proximos codigos maliosos y que
no puedan enviar mail desde localhost sin tener acceso , o mejor aún, que
no se pueda enviar mail con otro nombre que no sea el identificado,,, no se
si es posible eso...
Saludos.
2016-04-22 15:28 GMT-04:00 Jose Alberto <j.sejo1 en gmail.com>:
> Si no eres OpenRelay.
>
> Es facil, te pillaron una clave, lo que hacen es que autentica con el
> usuario que descubrieron, pero envian con diferentes remitentes.
>
> Verifica tus log de autenticacion smtp.
>
> On Thu, Apr 21, 2016 at 6:40 AM, Robert J. Briones C. <
> robert.briones en gmail.com> wrote:
>
>> Tengo un servidor con muchos dominios, y de vez en cuando hago un "mailq"
>> y veo en la cola algo así :
>>
>> 23AD51CC9BD 7682 Tue Apr 19 21:39:38 diana_russell en midominio.com
>> (connect to eathlink.net[98.124.199.103]:25: Connection
>> timed out)
>> ljr6121 en eathlink.net
>>
>> 26D8B1CC9FD 8532 Wed Apr 20 23:35:21 ruth_bennett en midominio.com
>> (connect to e-mail.at[86.59.23.150]:25: Connection
>> timed out)
>> one en e-mail.at
>>
>> 0416F1CC985 9110 Wed Apr 20 21:25:22 cecelia_schneider en midominio.com
>> (connect to qisdo.com[104.31.94.188]:25: Connection
>> timed out)
>> tuw87232 en qisdo.com
>>
>> E447327C03F 8052 Wed Apr 20 09:34:25 cheryl_nguyen en midominio.com
>> (connect to enterprisesearchinc.com[204.11.56.48]:25: Connection
>> timed out)
>> mnolan en enterprisesearchinc.com
>>
>> 695D81CC851 7723 Tue Apr 19 20:26:32 candace_long en midominio.com
>> (connect to icluod.com[158.69.143.82]:25: Connection
>> timed out)
>> gabi.stoica en icluod.com
>>
>> 5E3C81CC9ED 7835 Wed Apr 20 19:56:08 delores_ellis en midominio.com
>> (connect to gmil.co[208.73.211.70]:25: Connection
>> refused)
>>
>> el dominio "midominio.com" solo tiene creada una cuenta de correo "
>> ventas en midominio.com"
>>
>> Si busco en el log alguna de esas cuentas me aparece lo que postien een
>> el correo. no encuentro donde se hayan autenticado mas que por localhost.
>>
>>
>> el contenido de postconf -n es :
>>
>> alias_database = hash:/etc/aliases
>> alias_maps = hash:/etc/aliases
>> anvil_rate_time_unit = 60s
>> append_at_myorigin = yes
>> append_dot_mydomain = no
>> biff = no
>> broken_sasl_auth_clients = yes
>> command_directory = /usr/sbin
>> config_directory = /etc/postfix
>> daemon_directory = /usr/lib/postfix
>> inet_interfaces = XXX.XXX.XXX.XXX, 127.0.0.1
>> local_destination_recipient_limit = 1
>> local_recipient_maps = unix:passwd.byname $alias_database
>> local_transport = local
>> mail_spool_directory = /var/mail
>> mailbox_command = procmail -a "$EXTENSION"
>> mailbox_size_limit = 0
>> message_size_limit = 0
>> mydestination = $myhostname, $mydomain
>> mydomain = dominioprincipal.com.local
>> myhostname = dominioprincipal.com
>> mynetworks_style = host
>> myorigin = $myhostname
>> recipient_delimiter = +
>> setgid_group = postdrop
>> smtp_bind_address = XXX.XXX.XXX.XXX
>> smtp_tls_CAfile = /etc/postfix/my-ca.crt
>> smtp_tls_security_level = may
>> smtp_tls_session_cache_database =
>> btree:/var/lib/postfix/smtp_tls_session_cache
>> smtpd_banner = $myhostname ESMTP ispCP 1.0.7 OMEGA Managed
>> smtpd_client_message_rate_limit = 5
>> smtpd_client_recipient_rate_limit = 0
>> smtpd_data_restrictions =
>> reject_multi_recipient_bounce,
>> reject_unauth_pipelining
>> smtpd_helo_required = yes
>> smtpd_helo_restrictions =
>> permit_mynetworks,
>> permit_sasl_authenticated,
>> reject_invalid_helo_hostname,
>> reject_non_fqdn_helo_hostname
>> smtpd_recipient_restrictions =
>> reject_non_fqdn_recipient,
>> reject_unknown_recipient_domain,
>> permit_mynetworks,
>> permit_sasl_authenticated,
>> reject_unauth_destination,
>> reject_unlisted_recipient,
>> check_policy_service inet:127.0.0.1:10023,
>> check_client_access regexp:/etc/postfix/blacklist_clients
>> smtpd_sasl_auth_enable = yes
>> smtpd_sasl_local_domain =
>> smtpd_sasl_security_options = noanonymous
>> smtpd_sender_restrictions =
>> reject_non_fqdn_sender,
>> reject_unknown_sender_domain,
>> permit_mynetworks, permit_sasl_authenticated
>> smtpd_tls_CAfile = /etc/postfix/my-ca.crt
>> smtpd_tls_cert_file = /etc/postfix/smtp.pem
>> smtpd_tls_key_file = /etc/postfix/smtp-key.pem
>> smtpd_tls_received_header = yes
>> smtpd_tls_security_level = may
>> smtpd_tls_session_cache_database =
>> btree:/var/lib/postfix/smtpd_tls_session_cache
>> tls_random_source = dev:/dev/urandom
>> transport_maps = hash:/etc/postfix/ispcp/transport
>> virtual_alias_maps = hash:/etc/postfix/ispcp/aliases
>> virtual_gid_maps = static:8
>> virtual_mailbox_base = /var/mail/virtual
>> virtual_mailbox_domains = hash:/etc/postfix/ispcp/domains
>> virtual_mailbox_limit = 0
>> virtual_mailbox_maps = hash:/etc/postfix/ispcp/mailboxes
>> virtual_minimum_uid = 1001
>> virtual_transport = dovecot
>> virtual_uid_maps = static:1001
>> __________________________________
>>
>> Cualquier ayuda es agradecida..
>>
>> Saludos.
>>
>>
>>
>>
>>
>> El 19 de abril de 2016, 9:48, Emiliano Vazquez <emilianovazquez en gmail.com
>> > escribió:
>>
>>> Robert, no entendí bien.
>>>
>>> Vos tenes un servidor que tiene alojado el dominio @midominio.cl y te
>>> ingresan mails de cuentas inexistentes del mismo dominio?
>>>
>>> Por favor, postea el contenido del comando
>>>
>>> *postconf -n*
>>>
>>>
>>>
>>> El 19/04/16 a las 09:21, Robert J. Briones C. escribió:
>>>
>>> Estimados.
>>>
>>> tengo un problema con el maldito spam.
>>>
>>>
>>> he hecho mil cosas pero me siguen apareciendo correos enviados de
>>> cuentas que no existen..
>>>
>>> El log fragmentado según creo la parte que es es el siguiente.
>>>
>>> Apr 18 14:58:53 nao postfix/smtpd[6853]: connect from
>>> midominio.cl.local[127.0.0.1]
>>> Apr 18 14:58:53 nao postfix/smtpd[6853]: A0D5D1CD880:
>>> client=midominio.cl.local[127.0.0.1]
>>> Apr 18 14:58:53 nao postfix/cleanup[7485]: A0D5D1CD880: message-id=<
>>> 32a2ff27595deef9104dc93f92f9a3b3 en midominio2.cl>
>>> Apr 18 14:58:53 nao postfix/smtpd[6853]: disconnect from
>>> midominio.cl.local[127.0.0.1]
>>> Apr 18 14:58:53 nao postfix/qmgr[7416]: A0D5D1CD880: from=<
>>> lula_barrett en midominio2.cl>, size=8546, nrcpt=1 (queue active)
>>> Apr 18 14:58:54 nao dovecot: pop3-login: Disconnected: Inactivity (no
>>> auth attempts): rip=190.151.122.27, lip=IP_SERVIDOR
>>>
>>> el servidor no es open relay.. le hago un telnet con el ehlo utilizando
>>> un dominio que no existe en el servidor y me responde error, lo hago con un
>>> dominio interno y no me dice nada... será eso ???
>>>
>>> saludos y gracias por ayudar.
>>>
>>>
>>> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail> Libre
>>> de virus. www.avast.com
>>> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>>>
>>>
>>> _______________________________________________
>>> List de correo postfix-es para tratar temas del MTA postfix en españolpostfix-es en lists.wl0.orghttp://lists.wl0.org/mailman/listinfo/postfix-es
>>>
>>>
>>>
>>> _______________________________________________
>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>> postfix-es en lists.wl0.org
>>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>>
>>
>>
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>> postfix-es en lists.wl0.org
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>
>
>
> --
> #############################
> # Sistema Operativo: Debian #
> # Caracas, Venezuela #
> #############################
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20160424/cb2e6172/attachment-0001.html>
Más información sobre la lista de distribución postfix-es