Re: en otra de ataque a mi servidor de correo
Hola,
Otra cosa que puedes hacer es :
1- Si tienes control sobre el router, limitar las conexiones simultaneas de las IPs, ello, dado que las empresas responsables no envían emails de forma continua, sino, que sus programas de correos (servidores) los envian entre 3/5 minutos de intervalos y cuando hay varios emails cuyo remitentes sean del mismo dominio, pues, usan la misma conexion y así se evitan el problema de ser baneados por el firewall.
2- Puedes también SPF sobre el Remitente, asegurándote que la dirección de origen sea válida en un dominio.
3- Puedes implementar el bloqueo de IP desde la aplicación de correo basado en DNSBL, ej: http://www.spamhaus.org/
4- Si tienes usuarios que revisan su email, no trates de abrir el puerto 25, sino, utiliza el smtp-ssl, pop3-ssl ó imap-ssl, de esa forma si solamente tienes un solo servidor puedes aplicar desde el firewall diferentes políticas para los diferentes servicios.
Saludos.
--- El jue, 7/1/10, Camaleón <noelamac@gmail.com> escribió:
> De: Camaleón <noelamac@gmail.com>
> Asunto: Re: en otra de ataque a mi servidor de correo
> A: debian-user-spanish@lists.debian.org
> Fecha: jueves, 1 de julio de 2010, 01:23 am
> El Wed, 30 Jun 2010 15:50:24 -0600,
> troxlinux escribió:
>
> > El día 30 de junio de 2010 15:37, Camaleón
> escribió:
> >>
> >> Eso no puede ser :-/
> >>
> >> Supongo que estás con Postfix. Analiza el
> "/var/log/mail" y mira a ver
> >> qué es lo que está pasando realmente (origen y
> destino de esos
> >> mensajes, así como las direcciones IP) para
> descartar que tengas un
> >> relay abierto.
> >>
> >> Supongo que son rebotes, es decir, que alguien ha
> enviado correos con
> >> una dirección en el campo "From:" apuntando a tu
> dominio y un
> >> "Reply-To:" apuntando a un segundo dominio (o
> viceversa) y os estéis
> >> devolviendo mutuamente los correos.
> >
> > pues todos se conectar el port 25 de mi servidor y el
> localhost
>
> Claro, como debe ser, pero ese no es el problema...
>
> > mira te muestro la cabecera de unos de mis correos
> atrapados por
> > amavisd-new
> >
> > X-Spam-Flag: YES
> (...)
> > From: "Tanner Neidhardt" <qbxunshakeable@grupomunkel.com>
>
> > To: "Jap345678" <Jap345678@aol.com>
>
> El problema es qué hace tu servidor de correo atendiendo
> esas peticiones,
> es decir, ninguno de tus dominios aparece como
> remitente/receptor. Si es
> así, tienes un "open relay", revisa la configuración del
> servidor. Ya
> sabes que las cabeceras se pueden falsificar.
>
> Y revisa los registros para analizar si las peticiones son
> válidas o se
> te están colando por algún lado. Esto lo podrás ver
> desde el registro del
> servidor, no en las cabeceras de los correos y tienes que
> analizarlo con
> lupa.
>
> >> Pero para saber cómo responder antes tienes que
> saber cuál es el origen
> >> del problema.
> >>
> >>
> > y mira las conexiones a mi puerto 25 algunas en
> time_wait o otras
> > activas
> >
> > tcp 0 0
> 165.98.97.38:25
> 84.124.180.22:2819
> > TIME_WAIT
>
> (...)
>
> Pero eso es normal. Tienes el puerto 25 abierto en el
> router y el
> servidor respondiendo en ese puerto. Lo que no es normal es
> que tu
> servidor de correo atienda esas peticiones.
>
> Si te molestan mucho (puede ser una ráfaga de spam
> pasajera), puedes usar
> Postfix para bloquear/rechazar las peticiones que vienen
> desde
> direcciones IP que están en las listas negras mediante
> "smtpd_recipient_restrictions = ... reject_rhsbl_recipient"
> o
> "smtpd_sender_restrictions = ... reject_rhsbl_sender".
> Consulta el manual
> de Postfix para ver cómo se configuran estos valores.
>
> Saludos,
>
> --
> Camaleón
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] pan.2010.07.01.06.23.22@gmail.com">http://lists.debian.org/[🔎] pan.2010.07.01.06.23.22@gmail.com
>
>
Reply to: