Re: en otra de ataque a mi servidor de correo

To: debian-user-spanish@lists.debian.org
Subject: Re: en otra de ataque a mi servidor de correo
From: Camaleón <noelamac@gmail.com>
Date: Thu, 1 Jul 2010 06:23:23 +0000 (UTC)
Message-id: <[🔎] pan.2010.07.01.06.23.22@gmail.com>
References: <AANLkTikkz-RkFXg6CawiT7WNHQrYgtHCnKE_4kWm-few@mail.gmail.com> <pan.2010.06.30.21.37.56@gmail.com> <AANLkTim4HtzqMDcb7fT4YuDv4JC96DcssyPjdDzw_4ic@mail.gmail.com>

El Wed, 30 Jun 2010 15:50:24 -0600, troxlinux escribió:

> El día 30 de junio de 2010 15:37, Camaleón escribió:
>>
>> Eso no puede ser :-/
>>
>> Supongo que estás con Postfix. Analiza el "/var/log/mail" y mira a ver
>> qué es lo que está pasando realmente (origen y destino de esos
>> mensajes, así como las direcciones IP) para descartar que tengas un
>> relay abierto.
>>
>> Supongo que son rebotes, es decir, que alguien ha enviado correos con
>> una dirección en el campo "From:" apuntando a tu dominio y un
>> "Reply-To:" apuntando a un segundo dominio (o viceversa) y os estéis
>> devolviendo mutuamente los correos.
> 
> pues todos se conectar el port 25 de mi servidor y el localhost

Claro, como debe ser, pero ese no es el problema...
 
> mira te muestro la cabecera de unos de mis correos atrapados por
> amavisd-new
> 
> X-Spam-Flag: YES
(...)
> From: "Tanner Neidhardt" <qbxunshakeable@grupomunkel.com> 
> To: "Jap345678" <Jap345678@aol.com>

El problema es qué hace tu servidor de correo atendiendo esas peticiones, 
es decir, ninguno de tus dominios aparece como remitente/receptor. Si es 
así, tienes un "open relay", revisa la configuración del servidor. Ya 
sabes que las cabeceras se pueden falsificar.

Y revisa los registros para analizar si las peticiones son válidas o se 
te están colando por algún lado. Esto lo podrás ver desde el registro del 
servidor, no en las cabeceras de los correos y tienes que analizarlo con 
lupa.

>> Pero para saber cómo responder antes tienes que saber cuál es el origen
>> del problema.
>>
>>
> y mira las conexiones a mi puerto 25 algunas en time_wait o otras
> activas
> 
> tcp        0      0 165.98.97.38:25         84.124.180.22:2819   
> TIME_WAIT 

(...)

Pero eso es normal. Tienes el puerto 25 abierto en el router y el 
servidor respondiendo en ese puerto. Lo que no es normal es que tu 
servidor de correo atienda esas peticiones.

Si te molestan mucho (puede ser una ráfaga de spam pasajera), puedes usar 
Postfix para bloquear/rechazar las peticiones que vienen desde 
direcciones IP que están en las listas negras mediante 
"smtpd_recipient_restrictions = ... reject_rhsbl_recipient" o 
"smtpd_sender_restrictions = ... reject_rhsbl_sender". Consulta el manual 
de Postfix para ver cómo se configuran estos valores.

Saludos,

-- 
Camaleón

Reply to:

Follow-Ups:
- Re: en otra de ataque a mi servidor de correo
  - From: Carlos Lopez <the_spide21@yahoo.com>

Prev by Date: Re: ayuda, soporte para animaciones flash
Next by Date: Re: ayuda, soporte para animaciones flash
Previous by thread: Re: ayuda, soporte para animaciones flash
Next by thread: Re: en otra de ataque a mi servidor de correo
Index(es):
- Date
- Thread