La configuración se ve bien. Así que mi mejor teorías es que alguien consiguió hacerse de una cuenta y clave de acceso de un usuario y te está usando para enviar su spam, salvo que hayas puesto alguna barbaridad en el archivo access de postfix (algo que dudo, pero por acaso, publica contenido de ese también).

LA cantidad de spam en cola se minimizo bastante, pero igualmente sigo enviado spam hasta tal punto que ya me estan bloqueando en listas y por tal no puedo enviar correos por ejemplo a hotmail y a si muchos dominios

las cuentas las elimine y hasta volvi a re-instalar el zimbra y todo sigue igual



les agradezco mucho su ayuda

Habría que examinar a detalle las cabeceras de los mensajes de spam que están enviando a través tuyo. Es factible también que tengas un equipo infectado y que esté en una de las redes zombies de spambot. Pon una política de claves de acceso estricta, mínimo 10 caracteres, mínimo 4 letras, mínimo 4 números, mínimo un par de caracteres en mayúsculas, etc. Eso lo configuras desde la interfaz de Zimbra.

el equipo se encuentra en un data center y me asignaron 2 ip publicas para 2 equipos y el 2 equipo es un windows el cual empezo a trabajar desde ayer se que no hay mas equipos en la red. Com hago para poder ver desde que direcciones ip me esta llegando todo este spam y como haria para bloquearlas ya que en log de zimbra aparece solo esto

Jul 28 13:29:11 mail postfix/smtpd[9016]: 266BECD58462: client=unknown[192.168.15.1]
Jul 28 13:29:11 mail postfix/cleanup[8736]: CDA91CD5846B: message-id=<DQMXNEFETCCEWBXIQKGBVBSAB@ms14.hinet.net>


la ip 192.168.15.1 es la puerta de enlace del mi servidor zimbra

Para determinar de que IP proviene, necesitas examinar todo el mensaje completo, las cabeceras específicamente.

Edita el archivo access del Postfix de Zimbra. Bloquea los bloques de IP completos:



Lo anterior bloquea por completo 42.0.0.0/8, 49.0.0.0/8, 58.0.0.0/8, 59.0.0.0/8, 60.0.0.0/8 y 61.0.0.0/8.

También puedes poner IPs completas:



Al terminar, le das con postmap y reinicias Zimbra. Todo lo anterior lo puedes aplicar desde la interfaz de Zimbra, sin necesidad de editar dede terminal.

Yo haría lo anterior desde el muro cortafuegos. Si utilizas Shorewall, toma la lista que te puse de APNIC y pon un bloque de IPs por línea en el archivo blacklist. Se requiere que pongas la opción blacklist en la configuración de la interfaz del archivo interfaces de shorewall.

Buenos dias, soy nuevo por aqui, di con el foro por tener problemas similares que Edgar, ya fui victima de Spam (y aun lo sigo siendo, pero en menor medida), ya que tambien aparecia como OpenRelayt en mxtoolbox! Debido a lo mismo cai en listas negras y algunos dominios puntuales, me rebotan los correos. Lo bueno es que logramos salir de la lista negra en cuestion, pero estamos con problemas de reputacion, que me imagino, tambien los debe tener Edgar (puedes revisar en http://www.senderbase.org/), mi pregunta es, donde esta el famoso archivo access de Postfix? busque en /opt/postfix/access, pero dicho directorio no lo tengo, donde puede agregar el bloqueo de dominio o generar blacklist? Tengo Zimbra Open Source 7.1.1, sobre CentOS 5.5, desde ya muchas gracias.

Yo cambie el servidor lo puse en otro rango de ip y lleva 15 días y hasta el momento todo ha funcionado muy bien ya dejo se enviar spam, espero siga asi

Que bueno, pero algo no me queda claro, cambiaste el rango de Ip de la LAN, es decir de eth0? o cambiaste de Ip publica de Zimbra?

Conoces este error???


host host.domain.com[x.x.x.x] said: 554
Transaction Failed Spam Message not queued. (in reply to end of DATA
command)

Saludos

Cambie la ip publica

Tarde para este tema... pero seguro!
Dieron con las credenciales de un usuario de tu servidor y están usando esta cuenta para hacer envios masivos. Para encontrar la cuenta comprometida sigue estos pasos:

http://ezinearticles.com/?Easy-Steps-to-Stop-SMTP-AUTH-Relay-Attack-and-Identify-Compromised-Email-Account-for-Postfix&id=5744562


Yo tuve el mismo tipo de ataque y fue superado!


Saludos,

Revisa esta liga:
http://www.zimbra.com/forums/administrators/56845-open-relay-mta-problem.html

ahi podrias encontrar la solucion.