Hola,
No soy experto en postfix. Pero me parece que si revisas la referencia
del maillog podrás determinar si el que el
client=127.0.0,1 es un indicador de un proceso que esté enviado correos
a través de tu motor SMTP sin conocimiento
tuyo.
Alan ante todo gracias por tu respuestas, en algo me tranquiliza, pero
recibi un mail de un integrante de la lista y me gustaría saber cual es tu
opinión, dice lo siguiente:
Salu2.
Alan.
-----------------------------------------------
La gente no compra taladros. Compra agujeros.
[EMAIL PROTECTED]
http://ciberia.ya.com/javaplace/
Que porque sucedio porque alguien se metio a tu servidor y ha
instalado un programa que hace los envios, todo esta en el log del
correo , usa el ps -aux para ver procesos y fijate bien cada uno de
ellos tb el netstat -putan..suerte.
mariOS
<html><DIV>
<H6 align=center><FONT face="Verdana, Geneva, Arial, Sans-serif"
color=#663300 size=4>
<H6 align=center><FONT face="Verdana, Geneva, Arial, Sans-serif"
color=#000033 size=4>Mario Cesar Garcia Freitas</FONT></H6>
<H6 align=center><FONT face="Verdana, Geneva, Arial, Sans-serif"
color=#000033>Consultor Especialista en Redes y
Conectividad</FONT></H6>
<H4 align=center><FONT size=1>Venta y mantenimiento de suministros y
equipos,</FONT></H4>
<H4 align=center><FONT size=1>Cableado Estructurado, Soluciones de
voz y datos.</FONT></H4>
<H4 align=center><FONT color=#009933 size=4>cel.93460420/</FONT><FONT
color=#009933 size=4>telf.279-0365
</FONT></H4></FONT></H6></DIV></html>
From: "David Basauri F." <[EMAIL PROTECTED]>
Reply-To: [email protected]
To: <[email protected]>
Subject: RE: [l-plug] RV: Consulta para Servidor de correo
Date: Thu, 15 Mar 2007 12:29:29 -0500
MIME-Version: 1.0
Received: from tux.linux.org.pe ([200.48.10.9]) by
bay0-mc11-f20.bay0.hotmail.com with Microsoft
SMTPSVC(6.0.3790.2668); Thu, 15 Mar 2007 10:29:06 -0700
Received: from tux.linux.org.pe (localhost.localdomain
[127.0.0.1])by tux.linux.org.pe (Postfix) with ESMTP id
9BAB010E281;Thu, 15 Mar 2007 12:12:52 -0500 (PET)
Received: from mail.setours.com (servermail.dbasauri.com
[190.8.132.162])by tux.linux.org.pe (Postfix) with ESMTP id
BB8A310E27Afor <[email protected]>; Thu, 15 Mar 2007 12:12:48
-0500 (PET)
Received: from localhost (localhost.localdomain [127.0.0.1])by
mail.setours.com (Postfix) with ESMTP id 09B30AB83B1for
<[email protected]>; Thu, 15 Mar 2007 12:32:27 -0500 (PET)
Received: from mail.setours.com ([127.0.0.1])by localhost
(servermail [127.0.0.1]) (amavisd-new, port 10024)with ESMTP id
22251-07 for <[email protected]>;Thu, 15 Mar 2007 12:32:24
-0500 (PET)
Received: from ssi01 (unknown [192.168.20.150])by mail.setours.com
(Postfix) with ESMTP id 5A367AB83AEfor <[email protected]>;
Thu, 15 Mar 2007 12:32:23 -0500 (PET)
X-Message-Info:
txF49lGdW40aGUs2Q6RaL2FJ0Eb4hmJOykgDjBGcApsYgxlFA7xP7aNm/W69zBmO
X-Original-To: [email protected]
Delivered-To: [email protected]
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
Thread-Index: AcdnI6+LnQVt50DHSfOUSluG2sSnUwAA1Cgg
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at setours.com
X-BeenThere: [email protected]
X-Mailman-Version: 2.1.5
Precedence: list
List-Id: linux-plug.linux.org.pe
List-Unsubscribe:
<http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug>,
<mailto:[EMAIL PROTECTED]>
List-Archive: <http://www.linux.org.pe/pipermail/linux-plug>
List-Post: <mailto:[email protected]>
List-Help: <mailto:[EMAIL PROTECTED]>
List-Subscribe:
<http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug>,
<mailto:[EMAIL PROTECTED]>
Errors-To: [EMAIL PROTECTED]
Return-Path: [EMAIL PROTECTED]
X-OriginalArrivalTime: 15 Mar 2007 17:29:06.0719 (UTC)
FILETIME=[6F02D2F0:01C76727]
Gracias por la respuesta,
Supongamos que el mal se formo y sale del 127.0.0.1 , porque sucedió
esto?... y como lo puedo evitar mas adelante?
Gracias..
David
-----Mensaje original-----
De: MARIO CESAR GARCIA FREITAS [mailto:[EMAIL PROTECTED]
Enviado el: Jueves, 15 de Marzo de 2007 11:59 a.m.
Para: [EMAIL PROTECTED]
Asunto: RE: [l-plug] RV: Consulta para Servidor de correo
mira el problema que tienes puede tener 2 causas: una en tu servidor y
la otra en alguna pc de tu red o de afuera.
- Es posible que tu servidor haya sido hackeado y este mandando miles de
correos a cuentas creadas aleatoriamente eso lo puede verificar chequeando
el /var/log/maillog puedes filtrar asi por ejemplo:
#cat /var/log/maillog | grep 'from=<[EMAIL PROTECTED]>'
y te van a salir todos los envios de la cuenta que quieres revisar con el id
que te sale ahora buscas:
#cat /var/log/maillog | grep 'id'
y te va a salir la comunicacion completa del correo fijate como se forma si
sale del 127.0.0.1 tas frito vas a tener que reinstalarlo.
- Si es una pc la que te esta generando el problema pasa lo siguiente hay
muchos virus que infectan mediante alguna tecnica de enmascaramiento que
hace basicamente una ensalada con todo los contactos del cliente de correo
outlook de la pc y envia a mandar mails como loco, por ejemplo si tu cuenta
estaba en esa libreta se va a enviar un correo asi:
from:[EMAIL PROTECTED]
to:[EMAIL PROTECTED]
que pasa si [EMAIL PROTECTED] no existe el servidro de terra va a responderte
ati que no existe pero como el correo no lo enviaste tu te vas a dar cuenta
al toke.
si la cuenta existe le va a llegar a un pata un texto posiblemente con un
adjunto con el virus propagado.
este tipo de procesos escapan a tu control porque no puedes filtrarte
correos a ti mismo pero si con un antispam como spam assassin podrias
bloquear por contenido identificando los correos mas comunes.
espero que te ayude.
saludos
mariOS.
>Buenas tarde lista:
>Acudo a su sabiduría nuevamente y desde ya les agradezco por sus
>respuestas.
>En un servidor de correo tengo instalado Postfix, en Debian, tengo 20
>usuarios creados, y lo que sucede es que me estan llegando mails de cuentas
>que yo no he creado en mi servidor y utilizando mi dominio mitromix.com,
>por
>ejemplo, me llego un correo de [EMAIL PROTECTED] ,y el usuario carlos yo
>no lo he creado y tampoco existe en mi servidor.. Ahora ultimo me llego un
>correo donde el remitente era mi propia cuenta [EMAIL PROTECTED] , es como
>si yo me hubiera autoenviado un mail, cosa que no hice
>que error estoy cometiendo? ,¿Qué puede estar pasando?, que debo chequear
>para evitar que utilicen mi dominio?,..pueden estar utilizando mi servidor
>para enviar spam?..
>
>Aquí les envio el texto de mi archivo main.cf
>
>smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
>biff = no
># appending .domain is the MUA's job.
>append_dot_mydomain = no
># Uncomment the next line to generate "delayed mail" warnings
>#delay_warning_time = 4h
>myhostname = pc.mitromix.com
>mydomain = mitromix.com
>alias_maps = hash:/etc/aliases
>alias_database = hash:/etc/aliases
>myorigin = /etc/mailname
>mydestination = $myhostname, $mydomain, pc.mitromix.com, mitromix.com,
>localhost.mitromix.com, localhost, localhost.$mydomain
>relayhost =
>mynetworks = 127.0.0.0/8 192.21.0.0.0/24
>#relay_domains =$mydomain, mitromix.com
>home_mailbox = Maildir/
>mail_spool_directory = /var/spool/mail/
>#mailbox_command = /usr/bin/procmail
>#mailbox_size_limit = 0
>recipient_delimiter = +
>inet_interfaces = all
>message_size_limit = 10000000
>sender_bcc_maps = hash:/etc/postfix/sender_bcc
>#sender_bcc_maps = hash:/etc/postfix/sender_bcc2
>recipient_bcc_maps = hash:/etc/postfix/recipient_bcc
>content_filter = smtp-amavis:[127.0.0.1]:10024
>#header_checks = regexp:/etc/postfix/header_checks
>smtpd_helo_required = yes
>smtpd_helo_restrictions = permit_mynetworks,
>reject_invalid_hostname,reject_maps_rbl
>smtpd_client_restrictions = reject_invalid_hostname, permit_mynetworks
>ç#smtpd_client_restrictions = reject_invalid_hostname,
>reject_non_fqdn_sender, reject_non_fqdn_recipient,permit_mynetworks
>smtpd_recipient_restrictions = permit_mynetworks, check_relay_domains
>
>smtp_use_tls = yes
>smtpd_use_tls = yes
>smtp_tls_note_starttls = yes
>smtpd_tls_note_starttls = yes
>smtpd_tls_key_file = /etc/postfix/ssl/smtpd-key.pem
>smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
>smtpd_tls_loglevel = 1
>
>
>Gracias por sus respuestas.
>Un abrazo
>
>David Basauri Flores.
>
>
>_______________________________________________
>Lista de correo Linux-plug
>Temática: Discusión general sobre Linux
>Peruvian Linux User Group (http://www.linux.org.pe)
>
>Participa suscribiéndote y escribiendo a: [email protected]
>Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
>http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
>
>IMPORTANTE: Reglas y recomendaciones
>http://www.linux.org.pe/listas/reglas.php
>http://www.linux.org.pe/listas/comportamiento.php
>http://www.linux.org.pe/listas/recomendaciones.php
_________________________________________________________________
Un amor, una aventura, compañía para un viaje. Regístrate gratis en MSN Amor
& Amistad. http://match.msn.es/match/mt.cfm?pg=channel&tcid=162349
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: [email protected]
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
_________________________________________________________________
Un amor, una aventura, compañía para un viaje. Regístrate gratis en
MSN Amor & Amistad.
http://match.msn.es/match/mt.cfm?pg=channel&tcid=162349
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: [email protected]
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: [email protected]
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
