Re: Ataque a servidor smtp
El Sat, 25 Feb 2012 02:41:25 -0600, Victor H De la Luz escribió:
> Hola lista, aunque tengo muchos años trabajando en debian, hace poco
> instale mi primer servidor smtp para envio de correos, la configuración
> practicamente la deje intacta, pues apenas estaba comenzando a
> experimentar. No se del tema, es mi primera experiencia. Hace unos
> minutos recibi un mensaje de mi host indicandome que habian detenido mi
> sistema de envios ya que habia sobrepasado mi limite.
¿Estás seguro que el mensaje era verídico? Cuidadín con ese tipo de
mensajes que suelen ser de spam/scam :-/
> Inmediatamente di de baja los puertos del smtp y revise los logs, me
> encontre con esto (logicamente borre mi ip)
>
> Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
(...)
Bueno, a ver... esos son registros de intentos de inicios de sesión a tu
servidor IMAP (143/993), nada que ver con el servidor smtp (25/587).
Me parece que vas a tener que investigar más, por ejemplo ¿el usuario
"contacto" existe (está dado de alta) en Dovecot? ¿El origen del intento
de conexión viene de una IP local o remota? No conozco Dovecot, pero esos
valores de "rip" y "lip "apuntan a una conexión generada desde el propio
servidor.
Saludos,
--
Camaleón
Reply to: