Bienvenido(a) a Alcance Libre 17/08/2022, 23:25

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Redes y Servidores New Topic
 open relay Zimbra

Page navigation

Primero | Anterior | 1 2| Siguiente | Ultimo
Tópico anterior Tópico siguiente
   
Edgar Rene Chirivi Rico
 07/23/11 08:34PM (Leído 35,578 veces)  Tópico bloqueado

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/07/07
Mensajes: 49
Buenas noches

alguien sabe como desactivar open rely en zimbra

me estan atacando mi servidor enviando correos a direcciones yahoo.com.tw
 
Profile Email
Joel Barrios Dueñas
 07/23/11 10:51PM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
De modo predeterminado, Zimbra, al igual que cualquier otro producto similar, así como servidores de correo electrónico en general, jamás viene configurado como Open Relay. Vaya, ek método predeterminado es envío contra autenticación. Yo me inclino apensar que más bien te han robado una cuenta de algún usuario con una clave de acceso demasiado fácil o bien te están haciendo mail spoofing.
 
Profile Email Website
Edgar Rene Chirivi Rico
 07/24/11 11:35AM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/07/07
Mensajes: 49
Hola Joel gracias pro tu respuesta

al dar el comando postquee -p
veo la gran cantidad de spam (mas de 1000 en 10 minutos

9E45JUNIN SUN JUL 24 11:14:24 double-bounce@mail.midominio.com
cl.lsc@msa.hinet.com

y la cuenta double-bouce no existe en mi dominio

graccias
 
Profile Email
manowar
 07/25/11 04:53PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/26/07
Mensajes: 280
Localización:Santiago - Chile
manda el log completo de uno o 2 correos haber que se puede ver y en el admin verifica que solo localhost pueda enviar correos, parte por bloquear la LAN y que todos accesen via webmail, es posible que algun PC o mas esten infectado y hagan ese trabajo y por estar permitida tu LAN para enviar correo no se bloqueara.
 
Profile Email Website
Edgar Rene Chirivi Rico
 07/25/11 07:21PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/07/07
Mensajes: 49
Hola Ingrese a esta pagina http://www.mxtoolbox.com/diagnostic.aspx
y me dio el siguiente resultado


220 mail.midominio.com ESMTP Postfix

OK - 64.64.64.64 resolves to mail.santorini.com.co
OK - Reverse DNS matches SMTP Banner
0 seconds - Good on Connection time
May be an open relay. (si es open relay???)
0.796 seconds - Good on Transaction time



y al quitarle la direcion ip y dejarle solo la 127.0.0.1 sale el siguiete mensaje en zimbra

Valor no valido

mensaje de error! el valor de las redes MTDA Trusted Networks debe incluir interfases locales 192.168.15.2.

Tambien anexo parte del log


7F80DCD583DA 884 Mon Jul 25 19:17:36 aaronhans@cm1.hinet.net
(connect to msa-smtp-mx2.hinet.net[168.95.6.61]:25: Connection timed out)
zzz.bin@msa.hinet.net
zzz.bingo@msa.hinet.net
zzz.bird@msa.hinet.net
zzz.black@msa.hinet.net
zzz.blue@msa.hinet.net
zzz.bmw@msa.hinet.net
zzz.bn@msa.hinet.net
zzz.body@msa.hinet.net
zzz.brown@msa.hinet.net
zzz.bryant@msa.hinet.net
zzz.bt@msa.hinet.net
zzz.bu@msa.hinet.net
zzz.bubu@msa.hinet.net
zzz.bule@msa.hinet.net
zzz.bus@msa.hinet.net
zzz.c2@msa.hinet.net
zzz.calvin@msa.hinet.net
zzz.carey@msa.hinet.net
zzz.carlos@msa.hinet.net
zzz.carolyn@msa.hinet.net


 
Profile Email
Edgar Rene Chirivi Rico
 07/25/11 07:23PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/07/07
Mensajes: 49
Hola Ingrese a esta pagina http://www.mxtoolbox.com/diagnostic.aspx
y me dio el siguiente resultado


220 mail.midominio.com ESMTP Postfix

OK - 64.64.64.64 resolves to mail.midominio.com
OK - Reverse DNS matches SMTP Banner
0 seconds - Good on Connection time
May be an open relay. (si es open relay???)
0.796 seconds - Good on Transaction time



y al quitarle la direcion ip y dejarle solo la 127.0.0.1 sale el siguiete mensaje en zimbra

Valor no valido

mensaje de error! el valor de las redes MTDA Trusted Networks debe incluir interfases locales 192.168.15.2.

Tambien anexo parte del log


7F80DCD583DA 884 Mon Jul 25 19:17:36 aaronhans@cm1.hinet.net
(connect to msa-smtp-mx2.hinet.net[168.95.6.61]:25: Connection timed out)
zzz.bin@msa.hinet.net
zzz.bingo@msa.hinet.net
zzz.bird@msa.hinet.net
zzz.black@msa.hinet.net
zzz.blue@msa.hinet.net
zzz.bmw@msa.hinet.net
zzz.bn@msa.hinet.net
zzz.body@msa.hinet.net
zzz.brown@msa.hinet.net
zzz.bryant@msa.hinet.net
zzz.bt@msa.hinet.net
zzz.bu@msa.hinet.net
zzz.bubu@msa.hinet.net
zzz.bule@msa.hinet.net
zzz.bus@msa.hinet.net
zzz.c2@msa.hinet.net
zzz.calvin@msa.hinet.net
zzz.carey@msa.hinet.net
zzz.carlos@msa.hinet.net
zzz.carolyn@msa.hinet.net


 
Profile Email
Joel Barrios Dueñas
 07/25/11 08:54PM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Pinta a que te están haciendo Mail Spoofing (ver el enlace que te puse en mi mensaje anterior para que comprendas en qué consiste), es decir, aprovechando uno delos puntos flacos de el protocolo SMTP. Instala perl-Mail-SPF, pyzor y perl-Razor-Agent y reinicia los servicios de Zimbra para que el Spamassassin, que viene integrado con éste, active el plugin para SPF, Razor y Pyzor.

Las conexiones vienen de Japón (168.95.6.61), así que pon en lista negra ese bloque de IPs:

168.0.0.0/16

Quote by: Edgar+Rene+Chirivi+Rico

Hola Joel gracias pro tu respuesta

al dar el comando postquee -p
veo la gran cantidad de spam (mas de 1000 en 10 minutos

9E45JUNIN SUN JUL 24 11:14:24 double-bounce@mail.midominio.com
cl.lsc@msa.hinet.com

y la cuenta double-bouce no existe en mi dominio

graccias

 
Profile Email Website
Edgar Rene Chirivi Rico
 07/25/11 09:17PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/07/07
Mensajes: 49
Hola Joel

Tu sabes como instalar estos plugins?
Perdona mi ingnorancia
 
Profile Email
Edgar Rene Chirivi Rico
 07/25/11 09:47PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/07/07
Mensajes: 49
Ya los pude Instalar

Solo es intalarlos y reinicar el zimbra con zmcontrol??
 
Profile Email
Joel Barrios Dueñas
 07/25/11 09:49PM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Los plugins ya están instalados, pero requiere que instales esos paquetes para que se activen. Los encuentras en los almacenes YUM de AL Server para CentOS5/centOS6 y RHEL5/RHEL6 de Alcance Libre o en los de EPEL.

Si utilizas CentOS o Red Hat Enterprise Linux, descarga http://www.alcancelibre.org/al/server/AL-Server.repo y colocalo dentro de /etc/yum.repos.d/. Luego:

PHP Formatted Code
yum -y install perl-Mail-SPF pyzor perl-Razor-Agent


Al terminar, reinicia los servicios de Zimbra.

Quote by: Edgar+Rene+Chirivi+Rico

Hola Joel

Tu sabes como instalar estos plugins?
Perdona mi ingnorancia

 
Profile Email Website
Edgar Rene Chirivi Rico
 07/25/11 10:36PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/07/07
Mensajes: 49
Hola joel muchas graica sporla info

ya ejecute todo y bajo en un 70% aprox el envio del spam ya por lo menos en 4 minutos no me aparecen 900 correos si no 14,

Cualquier cosa te estarpe comentando y de nuevo muchas gracias
esperemos que esto siga así o mejore
 
Profile Email
Edgar Rene Chirivi Rico
 07/26/11 07:28AM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/07/07
Mensajes: 49
Hola

Hoy me encontre en la mañana con que habian en cola 43136 mensajes

ya no se que mas hacer para que deje de enviar tanto spam
 
Profile Email
Joel Barrios Dueñas
 07/26/11 09:53AM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Detén los servicios, borra todos los mensajes que tienes en la cola de salida, cambia claves de acceso de tus usuarios que consideres los más propensos a caer en engaños.

Bloquea todo el bloque asiático desde tu muro cortafuegos. Estos son los bloques.

1.0.0.0/8 14.0.0.0/8 27.0.0.0/8 36.0.0.0/8 39.0.0.0/8 42.0.0.0/8 49.0.0.0/8 58.0.0.0/8 59.0.0.0/8 60.0.0.0/8 61.0.0.0/8
101.0.0.0/8 103.0.0.0/8 106.0.0.0/8 110.0.0.0/8 111.0.0.0/8 112.0.0.0/8 113.0.0.0/8 114.0.0.0/8 115.0.0.0/8 116.0.0.0/8 117.0.0.0/8 118.0.0.0/8
119.0.0.0/8 120.0.0.0/8 121.0.0.0/8 122.0.0.0/8 123.0.0.0/8 124.0.0.0/8 125.0.0.0/8 126.0.0.0/8 169.208.0.0/12 175.0.0.0/8
180.0.0.0/8 182.0.0.0/8 183.0.0.0/8 202.0.0.0/8 203.0.0.0/8 210.0.0.0/8 211.0.0.0/8
218.0.0.0/8 219.0.0.0/8 220.0.0.0/8 221.0.0.0/8 222.0.0.0/8 223.0.0.0/8
163.0.0.0/16 163.125.0.0/16 163.142.0.0/16 163.177.0.0/16 163.179.0.0/16 163.204.0.0/16

¿Está actualizado el Zimbra que tienes en ese servidor???


 
Profile Email Website
Joel Barrios Dueñas
 07/26/11 09:54AM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Publica el contenido de main.cf del Postfix de Zimbra. Lo encuentras dentro de algunos de los subdirectorios de Zimbra en de /opt.
 
Profile Email Website
Edgar Rene Chirivi Rico
 07/26/11 10:27AM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/07/07
Mensajes: 49
hola joel

este el el main .cf

mail_owner = postfix
bounce_notice_recipient = postmaster
content_filter = smtp-amavis:[127.0.0.1]:10024
relayhost =
smtpd_sasl_authenticated_header = no
broken_sasl_auth_clients = yes
minimal_backoff_time = 300s
sender_canonical_maps = proxy:ldap:/opt/zimbra/conf/ldap-scm.cf
always_add_missing_headers = yes
smtpd_tls_key_file = /opt/zimbra/conf/smtpd.key
smtpd_helo_required = yes
virtual_transport = error
sendmail_path = /opt/zimbra/postfix/sbin/sendmail
smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unverified_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unlisted_recipient, reject_invalid_hostname, reject_non_fqdn_sender, permit
smtpd_reject_unlisted_recipient = no
bounce_queue_lifetime = 5d
local_header_rewrite_clients = permit_mynetworks,permit_sasl_authenticated
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_tls_security_level = may
smtpd_milters = inet:127.0.0.1:7026
smtpd_sender_restrictions =
lmtp_host_lookup = dns
delay_warning_time = 0h
virtual_mailbox_maps = proxy:ldap:/opt/zimbra/conf/ldap-vmm.cf
queue_run_delay = 300s
header_checks =
notify_classes = resource,software
command_directory = /opt/zimbra/postfix/sbin
smtpd_client_restrictions = reject_unauth_pipelining
smtpd_tls_auth_only = yes
virtual_alias_maps = proxy:ldap:/opt/zimbra/conf/ldap-vam.cf
mailq_path = /opt/zimbra/postfix/sbin/mailq
mynetworks = 127.0.0.0/8 192.168.15.0/29
lmtp_connection_cache_time_limit = 4s
transport_maps = proxy:ldap:/opt/zimbra/conf/ldap-transport.cf
virtual_alias_domains = proxy:ldap:/opt/zimbra/conf/ldap-vad.cf
smtpd_sasl_auth_enable = yes
smtpd_tls_loglevel = 1
maximal_backoff_time = 4000s
virtual_mailbox_domains = proxy:ldap:/opt/zimbra/conf/ldap-vmd.cf
daemon_directory = /opt/zimbra/postfix/libexec
non_smtpd_milters =
setgid_group = postdrop
alias_maps = hash:/etc/aliases
mydestination = localhost
myhostname = mail.santorini.com.co
message_size_limit = 10240000
recipient_delimiter =
in_flow_delay = 1s
queue_directory = /opt/zimbra/data/postfix/spool
propagate_unmatched_extensions = canonical
manpage_directory = /opt/zimbra/postfix/man
smtpd_tls_cert_file = /opt/zimbra/conf/smtpd.crt
lmtp_connection_cache_destinations =
newaliases_path = /opt/zimbra/postfix/sbin/newaliases
policy_time_limit = 3600
mailbox_size_limit = 0
disable_dns_lookups = no
smtpd_restrictions_clases =
smtpd_recipient_limit = 20


y este es el postfix_restrictions que esta en /opt/zimbra/conf

%%contains VAR:zimbraServiceEnabled cbpolicyd, check_policy_service inet:127.0.0.1:10031%%
reject_non_fqdn_recipient
reject_unknown_recipient_domain
reject_unverified_recipient
permit_sasl_authenticated
permit_mynetworks
reject_unauth_destination
reject_unlisted_recipient
%%contains VAR:zimbraMtaRestriction reject_invalid_hostname%%
%%contains VAR:zimbraMtaRestriction reject_non_fqdn_hostname%%
%%contains VAR:zimbraMtaRestriction reject_non_fqdn_sender%%
%%contains VAR:zimbraMtaRestriction reject_unknown_client%%
%%contains VAR:zimbraMtaRestriction reject_unknown_hostname%%
%%contains VAR:zimbraMtaRestriction reject_unknown_sender_domain%%
%%explode reject_rbl_client VAR:zimbraMtaRestrictionRBLs%%
%%contains VAR:zimbraMtaRestriction check_policy_service unix:private/policy%%
permit


al ponerle las reglas reject_unknown_recipient_domain reject_unverified_recipient baja la cantida de spam pero al tratar de enviar cualquer correo desde el webmail de zimbra aparece el siguiente mensaje

Mensaje no enviado; una o más direcciones no han sido aceptadas
direcicones rechazadas (ejemplo) rene_chirivi@yahoo.com



la verion de zimbra es la 7.1.1.GA5169.RHEL5_64 y esta montado sobre un centos 5.6 de 64
 
Profile Email

Page navigation

Primero | Anterior | 1 2| Siguiente | Ultimo
Contenido generado en: 0.50 segundos New Topic
 Todas las horas son CDT. Hora actual 11:25 PM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado