Re: [Postfix-BR] RES: RES: RES: RES: RES: RES: forje de domínio

vic Tue, 22 Nov 2011 19:13:23 -0800

Em Ter 22 Nov 2011 21:58:07 BRST, Diego Maciel Gomes escreveu:


pelo que entendo, ele está fazendo o que deve fazer, nao entregar esse tipo de 
mensagem...

alem do que tenho, precisaria de mais alguma coisa, para elevar o nivel? 
sender-id, DKIM como jah foi comentado??

acho que ninguem fica a vontade tendo esse tipo de mensagem no seu maillog, 
hehehe

________________________________________
De: [email protected] 
[[email protected]] em nome de Eduardo Schoedler 
[[email protected]]
Enviado: terça-feira, 22 de novembro de 2011 16:17
Para: 'Grupo de Usuarios Postfix do Brasil'
Assunto: [Postfix-BR] RES:  RES: RES: RES: RES: forje de domínio

Qual problema?
Nunca teve nenhum!
O servidor dele está fazendo o certo...
O problema é bloquear o envio do email com o domínio dele na origem, que é
um IP na Malásia!!!
Ou seja... um Spammer.

--
Eduardo Schoedler

-----Mensagem original-----
De: [email protected] [mailto:postfix-br-
[email protected]] Em nome de Gleison Rodrigo
Enviada em: terça-feira, 22 de novembro de 2011 16:16
Para: Grupo de Usuarios Postfix do Brasil
Assunto: Re: [Postfix-BR] RES: RES: RES: RES: forje de domínio

ou seja,
o problema foi resolvido desde a abertura deste tópico.

*reject: RCPT from unknown[120.166.7.240]: 554 5.7.1<
[email protected]>: Sender address rejected: NEGADO - Nao forje
meu dominio

[]s
*
Em 22 de novembro de 2011 15:04, Diego Maciel Gomes<
[email protected]>  escreveu:

entao... pode ocorrer ao meu ver, esse tipo de forge.. se for um
ataque de vários hosts zumbis.. por exemplo.. ai podem estar usando
ips da locaweb, e de outros lugares..

a fila está numa boa, nao está saindo nada, apenas chegando mensagem,
mas quando chega, vindo de um IP que nao é meu, ele nao entrega..

mas assim, ninguem gosta de ver o log, e ter isso acontecendo, por
isso que to na duvida, se está tudo certo mesmo, e claro, queria parar
com isso...

________________________________________
De: [email protected] [
[email protected]] em nome de Thiago -
HostLP [ [email protected]]
Enviado: terça-feira, 22 de novembro de 2011 15:55
Para: Grupo de Usuarios Postfix do Brasil
Assunto: Re: [Postfix-BR]       RES:  RES:  RES:  forje de domínio

Então tem coisa errada ae,  acho bem dificil outros lugares "forjarem"
seu dominio para enviar email...

É mais facil, alguem spammer esta usando usuario e senha de alguem, do
que a locaweb(embora seja ruim) usar seu dominio...

Seu relay esta fechado? aumente o debug na porta 25/465 e/ou 587 e
verifique as requisições feitas dos usuarios para envio....

verifique com o simples comando "mailq" e veja se tem muitos e-mails
na fila com erro, se tem retornado alguma coisa....

-----Mensagem Original-----
From: Diego Maciel Gomes
Sent: Tuesday, November 22, 2011 3:53 PM
To: Grupo de Usuarios Postfix do Brasil
Subject: [Postfix-BR] RES: RES: RES: forje de domínio

sim, sao mais IPs

201.76.49.245
189.126.112.35
201.76.49.182

por exemplo..


________________________________________
De: [email protected]
[[email protected]] em nome de Thiago -
HostLP [[email protected]]
Enviado: terça-feira, 22 de novembro de 2011 15:49
Para: Grupo de Usuarios Postfix do Brasil
Assunto: Re: [Postfix-BR] RES:  RES:  forje de domínio

Mas então, voce detectou que tem mais lugares forjando?

-----Mensagem Original-----
From: Diego Maciel Gomes
Sent: Tuesday, November 22, 2011 3:45 PM
To: Grupo de Usuarios Postfix do Brasil
Subject: [Postfix-BR] RES: RES: forje de domínio

Pois eh thiago, tmb pensei nisso, mas tem coisas que estao vindo da
locaweb, ai to com medo de fechar algo importante, sabe...

________________________________________
De: [email protected]
[[email protected]] em nome de Thiago -
HostLP [[email protected]]
Enviado: terça-feira, 22 de novembro de 2011 15:38
Para: Grupo de Usuarios Postfix do Brasil
Assunto: Re: [Postfix-BR] RES:  forje de domínio

bloqueia esse range no firewalll e ja era

-----Mensagem Original-----
From: Diego Maciel Gomes
Sent: Tuesday, November 22, 2011 3:33 PM
To: Grupo de Usuarios Postfix do Brasil
Subject: [Postfix-BR] RES: forje de domínio

Oi Julio,

Bom, ao me entender, a tentativa de forge nao está sendo possível, mas
acredito que o delivery está sendo entregue ao postmaster.. pois tem
coisa vindo da locaweb tmb...

por exemplo, gostaria que somente fosse logado, sem mandar email para
ninguem, assim como fazemos usando a opção de DISCARD, seria possivel
fazer isso nessa regra?

eu tenho um arquivo com todos os meus dominios, desse modo:

cecred.coop.br             554     NEGADO - Nao forje meu dominio

o fail2ban jah vi ele sendo usado em fwl com iptables, onde ele
bloqueia a origem..

usando ele no postfix, quando vc diz habilitar as regras.. nao preciso
fazer nada no postfix, certo? pelo que li agorinha rapidao, somente é
feito ajustes em cima dos proprios arquivos do fail2ban..

seria isso?

Obrigado

________________________________________
De: [email protected]
[[email protected]] em nome de Julio Cesar
Covolato [[email protected]]
Enviado: terça-feira, 22 de novembro de 2011 15:16
Para: Grupo de Usuarios Postfix do Brasil
Assunto: Re: [Postfix-BR] forje de domínio

Instala o fail2ban e habilita as regras do postfix.
--
-----------------------------
    _    Julio Cesar Covolato
   0v0<[email protected]>
  /(_)\  F: 55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------

Srs,

Estou tendo várias tentaivas de forjar meu domínio como a que mostro
a seguir no log...

Nov 22 12:25:04 mailserver postfix/smtpd[19624]: NOQUEUE: reject:
RCPT from unknown[120.166.7.240]: 554 5.7.1

<[email protected]>:

Sender

address rejected: NEGADO - Nao forje meu dominio;
from=<[email protected]>  to=<[email protected]>

proto=SMTP

helo=<codename>

Bom, eu tenho a seguinte regra:

smtpd_recipient_restrictions =
                                permit_mynetworks,
                                reject_unauth_pipelining,
                                reject_non_fqdn_recipient,
                                reject_unknown_recipient_domain,
                                reject_unauth_destination,
                                check_sender_access
hash:/etc/postfix/dominios

Existe mais alguma coisa que posso estar fazendo?

--
Esta mensagem foi verificada pelo sistema de antivirus e
acredita-se estar livre de perigo.

_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br



_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br

--
Esta mensagem foi verificada pelo sistema de antivirus e acredita-se
estar livre de perigo.


--
Esta mensagem foi verificada pelo sistema de antivirus e acredita-se
estar livre de perigo.

_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br

_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br

--
Esta mensagem foi verificada pelo sistema de antivirus e acredita-se
estar livre de perigo.


--
Esta mensagem foi verificada pelo sistema de antivirus e acredita-se
estar livre de perigo.

_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br

_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br

--
Esta mensagem foi verificada pelo sistema de antivirus e acredita-se
estar livre de perigo.


--
Esta mensagem foi verificada pelo sistema de antivirus e acredita-se
estar livre de perigo.

_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br

_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br

--
Esta mensagem foi verificada pelo sistema de antivirus e  acredita-se
estar livre de perigo.


--
Esta mensagem foi verificada pelo sistema de antivirus e  acredita-se
estar livre de perigo.

_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br




--
Gleison Rodrigo
http://www.grupoponte.com.br/~gleison
*
"Sábio é aquele que sabe compartilhar seus conhecimentos"*
_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br


_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br

--
Esta mensagem foi verificada pelo sistema de antivirus e
  acredita-se estar livre de perigo.

Caso ainda ninguém tenha dito, você também pode enviar um e-mail para oabuse@ do responsável pelo bloco IP informando-o que a rede sob aadministração dele está sendo abusada.

Em alguns casos resolve, em outros você ficará decepcionado com aresposta como eu fiquei com o pessoal do uol.


--
vic
http://choppnerd.com
http://donttrack.us  |  http://dontbubble.us
_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br

Re: [Postfix-BR] RES: RES: RES: RES: RES: RES: forje de domínio

Responder a