Hola: 2009/9/16 Jorge Posada L <[email protected]>
> Buenos dias a todos > > ultimamente he estado experimentando problemas con mi servidor de correo, > tengo un servidor de correo montado en ubuntu server 9.04 con > postfix+dovecot y squirrelmail instalados, el problema surgio hace unos > meses cuando me di cuenta despues de instalar y montar el servidor de que no > podia enviar correos a hotmail, me los rechazaba, segun el log porque el > servidor de correo hotmail decia que mi ip enviaba muchos mails no > solicitados, investigando aun mas se me ocurrio revisar los correo creados > para los trabajdores de la empresa y al revisar el correo "gerenciageneral" > con la entrada web del squirrelmail , encontre que el tema era diferente > pero tan solo para esta cuenta. > pasaba del color verde y blanco regular a un marron+verde +blanco en esta > cuenta demas, al revisar los correos enviados , encontre que habian 2000 > correos enviados de asuntos tipo "GET CHEAP LOANS" "MORE VALUE FOR YOUR > ENTERPRISE", clasicos mails de publicidad viral. sin embargo era imposible > que 2000 correos hayan sido enviados por alguien de la organizacion y menos > aun con un correo diferente es decir el correo escritor no era el > [email protected] sino era algo como [email protected] , al > leer en algunas web di con el concepto de "open relay" y pense que eso era > lo que sucedia, sin embargo despues de probar con tests online de open relay > comprobe que mi servidor no era open relay, no se que es lo que pasa esa > cuenta sigue enviando spam cada ves que borro los mensajes, al segundo ya > se han enviado 5 o 6 , y sigue aumentando, que puede ser? > por cierto estoy detras de un proxy+firewall , una distribucion llamada > IPCOP > > Espero no pecar de pedante pero estoy casi 99% seguro que tu problema se debe a contraseñas inseguras: 1. Spammers tantean los servidores de correo en busca de usuarios/password fáciles de adivinar. 2. Una vez obtenido uno o más usuarios/claves automatizan el proceso de enviar spam de una de 2 formas: a) Via alguna aplicacion que se loguee a la interfaz Web (Horde, Squirrelmail, roundcube, etc) y desde ahi envie los spams b) Via conexion SMTP directa con la autenticacion de usuario/clave adecuada usando algun cliente SMTP preparado para tal fin. 3. El remitente de un mensaje (From:) puede ser cambiado facilmente. Solución: A) Establece una política real de contraseñas para tu organización B) Configura tu Postfix para que no permita que nadie envíe mensajes utilizando una dirección de dominio remiente diferente a la que tu hospedas. Es decir que nadie envíe correos con dominios distinto a dominio.com. Medidas complementarias: i) Instala un filtro de contenidos como MailScanner y MailWatch que te permita monitorear el tráfico de tu correo y saber cuándo se envían e-mails masivos, desde qué direcciones IP, fecha/hora, etc. ii) Monitorea tus logs (logs de Postfix y de tu Webmail) para conocer todos los inicios de sesión y/o autenticación de usuarios de modo tal que veas desde qué direcciones IP se conecta alguien para enviar spam. De este modo puedes ver qué usuario se autentica para enviar correos y de ahí bloquear las IPs que creas convenientes: # grep 'postfix.*sasl_username' /var/log/maillog Si ves direcciones IP que no provienen ser de Perú sino quizás de países inusuales como Israel, Tailandia, China, Vietnam u otros procede a irlos bloqueando de manera temporal mientras aplicas las soluciones arriba mencionadas ... a menos que tengas al gerente de viaje por esos paises con su laptop enviando correos. Estos procedimientos y otros más son los que he seguido para resolver el mismo problema en al menos 3 servidores con más de 400 usuarios. Suerte -- > ______________________ > Jorge Luis Posada Linares > Ing. de Sistemas y Computación > Cel: 074 979354106 > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://listas.linux.org.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
