[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ataque a servidor smtp

El Sat, 25 Feb 2012 02:41:25 -0600, Victor H De la Luz escribió:

> Hola lista, aunque tengo muchos años trabajando en debian, hace poco
> instale mi primer servidor smtp para envio de correos, la configuración
> practicamente la deje intacta, pues apenas estaba comenzando a
> experimentar. No se del tema, es mi primera experiencia. Hace unos
> minutos recibi un mensaje de mi host indicandome que habian detenido mi
> sistema de envios ya que habia sobrepasado mi limite. 

¿Estás seguro que el mensaje era verídico? Cuidadín con ese tipo de 
mensajes que suelen ser de spam/scam :-/

> Inmediatamente di de baja los puertos del smtp y revise los logs, me
> encontre con esto (logicamente borre mi ip)
> 
> Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured 

(...)

Bueno, a ver... esos son registros de intentos de inicios de sesión a tu 
servidor IMAP (143/993), nada que ver con el servidor smtp (25/587).

Me parece que vas a tener que investigar más, por ejemplo ¿el usuario 
"contacto" existe (está dado de alta) en Dovecot? ¿El origen del intento 
de conexión viene de una IP local o remota? No conozco Dovecot, pero esos 
valores de "rip" y "lip "apuntan a una conexión generada desde el propio 
servidor.

Saludos,

-- 
Camaleón
Reply to: