Servidor de correo (postfix) y spam

To: Lista de usuarios de Debian <debian-user-spanish@lists.debian.org>
Subject: Servidor de correo (postfix) y spam
From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>
Date: Sun, 22 Feb 2015 11:45:50 +0100
Message-id: <[🔎] 20150222104550.GA9880@cubo.casa>
Mail-followup-to: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>, Lista de usuarios de Debian <debian-user-spanish@lists.debian.org>

Un saludo a la lista:

Hoy me he desayunado con que mi servidor de correo estaba mandado spam
desde hace algunos días. Me extrañaba la circunstancia, porque el
servidor lleva montado cerca de un año y no había dado problemas. Por si
acaso he comprobado si tenía el relay abierto:

#v+
$ telnet mail.midominio.es 25
Trying 80.32.206.136...
Connected to mail.midominio.es.
Escape character is '^]'.
220 smtp.midominio.es ESMTP Postfix (Debian/GNU)
ehlo
501 Syntax: EHLO hostname
ehlo testing
250-smtp.midominio.es
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM: <cuentainexistente@example.com>
250 2.1.0 Ok
RCPT TO: <test@example.com>
554 5.7.1 <test@example.com>: Relay access denied
#v-

Y no lo está, porque de ser así los problemas habrían aparecido mucho
antes. El servidor exige validarse para enviar correo a otros
servidores, excepto si la petición procede de las redes locales que
están configuradas así:

mynetworks = 127.0.0.0/8

O sea, sólo el propio servidor, lo cual descarta que el relay
se estuviera haciendo desde algún cliente de la red local.

El servidor está montado principalmente para servir de sostén a algunas
aplicaciones web (moodle, por ejemplo); y solamente yo lo uso
esporádicamente.

Mirando las anotaciones en /var/log/mail he visto esto:

#v+
# grep sasl_username= mail.log.1
[...]
Feb 18 22:37:39 orrilo postfix/smtpd[7371]: 8FF261122D: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:38:01 orrilo postfix/smtpd[6676]: CE9C9109F0: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:38:25 orrilo postfix/smtpd[7371]: 6EBE9109F0: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:38:48 orrilo postfix/smtpd[6676]: B6FE111238: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:39:12 orrilo postfix/smtpd[7371]: 0FE8511224: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 18 22:39:34 orrilo postfix/smtpd[6676]: 6E45911244: client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 20 14:13:09 orrilo postfix/smtpd[24490]: 8E78B3A22: client=unknown[83.170.119.28], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
Feb 21 14:15:45 orrilo postfix/smtpd[5438]: ED6197F6D: client=unknown[79.172.242.83], sasl_method=LOGIN, sasl_username=pablo@smtp.midominio.es
[...]
#v-

Las ips son de Argentina, Hungría, Reino Unido. Si observo los números
8FF261122D, CE9C9109F0, etc, que creo que los asigna postfix a cada
petición que recibe, veo que están asociadas a envíos de spam. por
ejemplo:

#v+
[...]
mail.log.1:Feb 21 14:15:55 orrilo postfix/pipe[5444]: ED6197F6D: to=<therichshecik42@yahoo.com>, [...]
mail.log.1:Feb 21 14:15:55 orrilo postfix/pipe[5444]: ED6197F6D: to=<therichshecik43@yahoo.com>, [...]
mail.log.1:Feb 21 14:15:55 orrilo postfix/pipe[5444]: ED6197F6D: to=<therichshecik44@yahoo.com>, [...]
[,,,]
#v-

Así que este parece ser el problema: que han cazado la contraseña de un
usuario del sistema, porque entiendo que estas líneas significan que
alguien se ha autenticado en el servidor como "pablo" para después
enviar spam. Efectivamente, esa cuenta existe y es de alguien al que se
la di, porque de vez en cuando sube documentos a un ftp para que luego se
vean a través de la web.

Creo que mi diagnóstico es acertado, ¿no? Por lo pronto he deshabilitado
al usuario. Supuesto esto, me gustaría saber dos cosas:

a) ¿Cómo se ha producido esto?
b) Si existe alguna manera sencilla de detectar esto más adelante: lo he
   detectado unos días después de que comenzara, porque me dio por mirar
   los logs por otra razón distinta.

En lo relativo a lo primero, entiendo que ftp no es seguro y que quizás
tendría que usar el sftp que ofrece ssh. Sin embargo, ¿es esta una causa
probable de que hayan averiguado la contraseña los spammers o lo es más
que tenga un malware en el ordenador de su casa que le haya obtenido la
contraseña de filezilla, por ejemplo? Eso descartando que su contraseña
sea 1234. Mañana se lo preguntaré.

Por otro lado, por la técnica de ensayo/error no creo que haya sido,
porque tengo habilitado denyhost que banea ips cuando detecta un número de
terminado de intentos fallidos al servidor SSH o al FTP.

Un saludo y gracias de antemano.

-- 
   Et nulla stringo, et tutto 'l mondo abraccio
                  --- Francisco Petrarca ---

Reply to:

Follow-Ups:
- Re: Servidor de correo (postfix) y spam
  - From: Manolo Díaz <diaz.manolo@gmail.com>
- Re: Servidor de correo (postfix) y spam
  - From: Camaleón <noelamac@gmail.com>
- Re: Servidor de correo (postfix) y spam
  - From: Roberto José Blandino Cisneros <rojoblandino@gmail.com>
- Re: Servidor de correo (postfix) y spam (OT)
  - From: Gonzalo Rivero <fishfromsalta@gmail.com>

Prev by Date: Re: Edición de video en LINUX
Next by Date: Re: Servidor de correo (postfix) y spam
Previous by thread: Re: Edición de video en LINUX
Next by thread: Re: Servidor de correo (postfix) y spam
Index(es):
- Date
- Thread