Acabo de aplicar esta regla en mi iptables a ver que pasa, en este
servidor solo tengo wordpress instalado y actualizado a la ultima,
igualmente lo revisare por si acaso.
Me aconsejas que pase el clamav en todo el servidor?
descarto mala configuración de dovecot o postfix?
he mirado el erro exacto, os lo pongo aquí:
550 SC-002 - Correo rechazado por Outlook.com en virtud de sus
directivas. La IP del servidor de correo que está conectando con
Outlook.com ha mostrado un comportamiento de minería de espacio de
nombres. Si no eres administrador de correo o de red, ponte en contacto
con tu proveedor de acceso a correo o Internet para obtener ayuda.
Utilizo fail2ban como complemento, crees que se puede aplicar algun
extra para que lo detecte y lo frene fail2ban?
También he visto que se puede proteger para que solo los dominios que
hay registrados en postfix y los usuarios validos puedan mandar correos,
si estas autentificado pero tratas de que se envie con una dirección que
no es la que hay registradas en postfix entonces no lo enviá. (ejemplo,
tienes dominio.com y quieres que se envie, desde una web como
dominio2.com). Esto como se puede hacer ya que creo que en mi
configuración no lo he visto y si que alguna vez he tenido problemas de
este tipo.
Gracias por tu ayuda!
-----------------------
Firma Alexandre Andreu Cases - Servtelecom
El 13/12/16 a las 13:09, Ernesto Pérez Estévez escribió:
On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
En mi caso cuando lo he tenido lo he logrado controlar a través del uso
de iptables, pero te cuento luego porque no es tan fácil.
Si el problema ocurre DESDE tu servidor, posiblemente debes buscar la
opción de bloquear el acceso a los scripts al puerto 25/tcp saliente.
Esto es en caso de que tus aplicaciones web corran bajo otro usuario que
no sea root. Ejemplo: si cada sitio virtual corre bajo un UID diferente,
entonces puedes aplicar reglas de iptables para que, excepto tu servidor
de smtp y el usuario root, nadie más pueda acceder al puerto 25/tcp
saliente.
iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j
ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with
icmp-port-unreachable
Claro, con esto no encontrarás al script malicioso, simplemente le
bloquearás cualquier intento. Quizá debas usar LOG para guardar los
intentos fallidos y tratar de encontrar el uid que está haciendo el intento.
_______________________________________________
CentOS-es mailing list
[email protected]
https://lists.centos.org/mailman/listinfo/centos-es
