[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Meu endereço do roteador na lista do sorbs



Este é um assunto que envolve um leque de soluções. Você deve verificar se seu servidor não está fazendo relay (se ele permite alguém de fora usá-lo para enviar mensagens). Se uma máquina estiver contaminada e estiver agindo como um servidor de e-mail, ela enviará através do gateway e daí a razão para seu gateway aparecer no Sobs. O que pode ser feito é fazer com que seu firewall bloqueie o envio de mensagens e só aceite tráfico de e-mail pelo seu servidor de e-mails.
No iptables, fica assim:
iptables -A FORWARD -s ip-do-svr-e-mails/mask -d 0.0.0.0/0.0.0.0 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d ip-do-svr-e-mails/mask -p tcp --dport 25 -j ACCEPT

# Para liberar acesso a outros servidores de e-mails para o usuários da rede interna
iptables -A FORWARD -d pop3.uol.com.br -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -d smtp.uol.com.br -p tcp --dport 25 -j ACCEPT

iptables -A FORWARD -p tcp --dport 25 -j DROP # Bloqueia todo trafego da porta 25


Em 12-03-2010 11:27, Daniel escreveu:
Bom dia pessoal, tudo bem?

É o seguinte: tenho um servidor firewall/gateway e atrás deles tenho minha rede interna e servidores Web (2).

Um desses servidores web envia e-mail para os usuários que se cadastram.
Nesses dias, ao sistema enviar um e-mail, ele retornou o seguinte erro:

MESSAGEM DO SORBS.

Database of vulnerable/hacked servers
Address and Port:     *MEU_IP*
Record Created:     Tue Mar 9 21:10:25 2010 GMT
Record Updated:     Wed Mar 10 02:53:07 2010 GMT
Additional Information: Spam Sending Trojan or Proxy attempted to send mail from/to from=email1 to=email2 helo=<[MEU_IP]>
*Currently active and flagged to be published in DNS*
If you wish to request a delisting please do so through the Support System <https://www.dnsbl.au.sorbs.net/cgi-bin/support?IP=MEU_IP>.

Meu problema é o seguinte: eu vasculhei os servidores e nào achei nada de errado. Poderia uma máquina da rede estar infectada e, como a saída é pelo ip do gateway, ele ter bloqueado o envio de qualquer endereço da rede interna pela lista do sorbs?

Como se cadastram ips nessa lista? Poderia ser sacanagem de um usuário que reporta uma mensagem fictícia dizendo que meu servidor que enviou??

Abraço a todos e obrigado desde já
Daniel




Reply to: