Buenas noches

alguien sabe como desactivar open rely en zimbra

me estan atacando mi servidor enviando correos a direcciones yahoo.com.tw

De modo predeterminado, Zimbra, al igual que cualquier otro producto similar, así como servidores de correo electrónico en general, jamás viene configurado como Open Relay. Vaya, ek método predeterminado es envío contra autenticación. Yo me inclino apensar que más bien te han robado una cuenta de algún usuario con una clave de acceso demasiado fácil o bien te están haciendo mail spoofing.

Hola Joel gracias pro tu respuesta

al dar el comando postquee -p
veo la gran cantidad de spam (mas de 1000 en 10 minutos

9E45JUNIN SUN JUL 24 11:14:24 double-bounce@mail.midominio.com
cl.lsc@msa.hinet.com

y la cuenta double-bouce no existe en mi dominio

graccias

manda el log completo de uno o 2 correos haber que se puede ver y en el admin verifica que solo localhost pueda enviar correos, parte por bloquear la LAN y que todos accesen via webmail, es posible que algun PC o mas esten infectado y hagan ese trabajo y por estar permitida tu LAN para enviar correo no se bloqueara.

Hola Ingrese a esta pagina http://www.mxtoolbox.com/diagnostic.aspx
y me dio el siguiente resultado


220 mail.midominio.com ESMTP Postfix

OK - 64.64.64.64 resolves to mail.santorini.com.co
OK - Reverse DNS matches SMTP Banner
0 seconds - Good on Connection time
May be an open relay. (si es open relay???)
0.796 seconds - Good on Transaction time



y al quitarle la direcion ip y dejarle solo la 127.0.0.1 sale el siguiete mensaje en zimbra

Valor no valido

mensaje de error! el valor de las redes MTDA Trusted Networks debe incluir interfases locales 192.168.15.2.

Tambien anexo parte del log


7F80DCD583DA 884 Mon Jul 25 19:17:36 aaronhans@cm1.hinet.net
(connect to msa-smtp-mx2.hinet.net[168.95.6.61]:25: Connection timed out)
zzz.bin@msa.hinet.net
zzz.bingo@msa.hinet.net
zzz.bird@msa.hinet.net
zzz.black@msa.hinet.net
zzz.blue@msa.hinet.net
zzz.bmw@msa.hinet.net
zzz.bn@msa.hinet.net
zzz.body@msa.hinet.net
zzz.brown@msa.hinet.net
zzz.bryant@msa.hinet.net
zzz.bt@msa.hinet.net
zzz.bu@msa.hinet.net
zzz.bubu@msa.hinet.net
zzz.bule@msa.hinet.net
zzz.bus@msa.hinet.net
zzz.c2@msa.hinet.net
zzz.calvin@msa.hinet.net
zzz.carey@msa.hinet.net
zzz.carlos@msa.hinet.net
zzz.carolyn@msa.hinet.net

Hola Ingrese a esta pagina http://www.mxtoolbox.com/diagnostic.aspx
y me dio el siguiente resultado


220 mail.midominio.com ESMTP Postfix

OK - 64.64.64.64 resolves to mail.midominio.com
OK - Reverse DNS matches SMTP Banner
0 seconds - Good on Connection time
May be an open relay. (si es open relay???)
0.796 seconds - Good on Transaction time



y al quitarle la direcion ip y dejarle solo la 127.0.0.1 sale el siguiete mensaje en zimbra

Valor no valido

mensaje de error! el valor de las redes MTDA Trusted Networks debe incluir interfases locales 192.168.15.2.

Tambien anexo parte del log


7F80DCD583DA 884 Mon Jul 25 19:17:36 aaronhans@cm1.hinet.net
(connect to msa-smtp-mx2.hinet.net[168.95.6.61]:25: Connection timed out)
zzz.bin@msa.hinet.net
zzz.bingo@msa.hinet.net
zzz.bird@msa.hinet.net
zzz.black@msa.hinet.net
zzz.blue@msa.hinet.net
zzz.bmw@msa.hinet.net
zzz.bn@msa.hinet.net
zzz.body@msa.hinet.net
zzz.brown@msa.hinet.net
zzz.bryant@msa.hinet.net
zzz.bt@msa.hinet.net
zzz.bu@msa.hinet.net
zzz.bubu@msa.hinet.net
zzz.bule@msa.hinet.net
zzz.bus@msa.hinet.net
zzz.c2@msa.hinet.net
zzz.calvin@msa.hinet.net
zzz.carey@msa.hinet.net
zzz.carlos@msa.hinet.net
zzz.carolyn@msa.hinet.net

Pinta a que te están haciendo Mail Spoofing (ver el enlace que te puse en mi mensaje anterior para que comprendas en qué consiste), es decir, aprovechando uno delos puntos flacos de el protocolo SMTP. Instala perl-Mail-SPF, pyzor y perl-Razor-Agent y reinicia los servicios de Zimbra para que el Spamassassin, que viene integrado con éste, active el plugin para SPF, Razor y Pyzor.

Las conexiones vienen de Japón (168.95.6.61), así que pon en lista negra ese bloque de IPs:

168.0.0.0/16

Hola Joel

Tu sabes como instalar estos plugins?
Perdona mi ingnorancia

Ya los pude Instalar

Solo es intalarlos y reinicar el zimbra con zmcontrol??

Los plugins ya están instalados, pero requiere que instales esos paquetes para que se activen. Los encuentras en los almacenes YUM de AL Server para CentOS5/centOS6 y RHEL5/RHEL6 de Alcance Libre o en los de EPEL.

Si utilizas CentOS o Red Hat Enterprise Linux, descarga http://www.alcancelibre.org/al/server/AL-Server.repo y colocalo dentro de /etc/yum.repos.d/. Luego:



Al terminar, reinicia los servicios de Zimbra.

Hola joel muchas graica sporla info

ya ejecute todo y bajo en un 70% aprox el envio del spam ya por lo menos en 4 minutos no me aparecen 900 correos si no 14,

Cualquier cosa te estarpe comentando y de nuevo muchas gracias
esperemos que esto siga así o mejore

Hola

Hoy me encontre en la mañana con que habian en cola 43136 mensajes

ya no se que mas hacer para que deje de enviar tanto spam

Detén los servicios, borra todos los mensajes que tienes en la cola de salida, cambia claves de acceso de tus usuarios que consideres los más propensos a caer en engaños.

Bloquea todo el bloque asiático desde tu muro cortafuegos. Estos son los bloques.

1.0.0.0/8 14.0.0.0/8 27.0.0.0/8 36.0.0.0/8 39.0.0.0/8 42.0.0.0/8 49.0.0.0/8 58.0.0.0/8 59.0.0.0/8 60.0.0.0/8 61.0.0.0/8
101.0.0.0/8 103.0.0.0/8 106.0.0.0/8 110.0.0.0/8 111.0.0.0/8 112.0.0.0/8 113.0.0.0/8 114.0.0.0/8 115.0.0.0/8 116.0.0.0/8 117.0.0.0/8 118.0.0.0/8
119.0.0.0/8 120.0.0.0/8 121.0.0.0/8 122.0.0.0/8 123.0.0.0/8 124.0.0.0/8 125.0.0.0/8 126.0.0.0/8 169.208.0.0/12 175.0.0.0/8
180.0.0.0/8 182.0.0.0/8 183.0.0.0/8 202.0.0.0/8 203.0.0.0/8 210.0.0.0/8 211.0.0.0/8
218.0.0.0/8 219.0.0.0/8 220.0.0.0/8 221.0.0.0/8 222.0.0.0/8 223.0.0.0/8
163.0.0.0/16 163.125.0.0/16 163.142.0.0/16 163.177.0.0/16 163.179.0.0/16 163.204.0.0/16

¿Está actualizado el Zimbra que tienes en ese servidor???

Publica el contenido de main.cf del Postfix de Zimbra. Lo encuentras dentro de algunos de los subdirectorios de Zimbra en de /opt.

hola joel

este el el main .cf

mail_owner = postfix
bounce_notice_recipient = postmaster
content_filter = smtp-amavis:[127.0.0.1]:10024
relayhost =
smtpd_sasl_authenticated_header = no
broken_sasl_auth_clients = yes
minimal_backoff_time = 300s
sender_canonical_maps = proxy:ldap:/opt/zimbra/conf/ldap-scm.cf
always_add_missing_headers = yes
smtpd_tls_key_file = /opt/zimbra/conf/smtpd.key
smtpd_helo_required = yes
virtual_transport = error
sendmail_path = /opt/zimbra/postfix/sbin/sendmail
smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unverified_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unlisted_recipient, reject_invalid_hostname, reject_non_fqdn_sender, permit
smtpd_reject_unlisted_recipient = no
bounce_queue_lifetime = 5d
local_header_rewrite_clients = permit_mynetworks,permit_sasl_authenticated
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_tls_security_level = may
smtpd_milters = inet:127.0.0.1:7026
smtpd_sender_restrictions =
lmtp_host_lookup = dns
delay_warning_time = 0h
virtual_mailbox_maps = proxy:ldap:/opt/zimbra/conf/ldap-vmm.cf
queue_run_delay = 300s
header_checks =
notify_classes = resource,software
command_directory = /opt/zimbra/postfix/sbin
smtpd_client_restrictions = reject_unauth_pipelining
smtpd_tls_auth_only = yes
virtual_alias_maps = proxy:ldap:/opt/zimbra/conf/ldap-vam.cf
mailq_path = /opt/zimbra/postfix/sbin/mailq
mynetworks = 127.0.0.0/8 192.168.15.0/29
lmtp_connection_cache_time_limit = 4s
transport_maps = proxy:ldap:/opt/zimbra/conf/ldap-transport.cf
virtual_alias_domains = proxy:ldap:/opt/zimbra/conf/ldap-vad.cf
smtpd_sasl_auth_enable = yes
smtpd_tls_loglevel = 1
maximal_backoff_time = 4000s
virtual_mailbox_domains = proxy:ldap:/opt/zimbra/conf/ldap-vmd.cf
daemon_directory = /opt/zimbra/postfix/libexec
non_smtpd_milters =
setgid_group = postdrop
alias_maps = hash:/etc/aliases
mydestination = localhost
myhostname = mail.santorini.com.co
message_size_limit = 10240000
recipient_delimiter =
in_flow_delay = 1s
queue_directory = /opt/zimbra/data/postfix/spool
propagate_unmatched_extensions = canonical
manpage_directory = /opt/zimbra/postfix/man
smtpd_tls_cert_file = /opt/zimbra/conf/smtpd.crt
lmtp_connection_cache_destinations =
newaliases_path = /opt/zimbra/postfix/sbin/newaliases
policy_time_limit = 3600
mailbox_size_limit = 0
disable_dns_lookups = no
smtpd_restrictions_clases =
smtpd_recipient_limit = 20


y este es el postfix_restrictions que esta en /opt/zimbra/conf

%%contains VAR:zimbraServiceEnabled cbpolicyd, check_policy_service inet:127.0.0.1:10031%%
reject_non_fqdn_recipient
reject_unknown_recipient_domain
reject_unverified_recipient
permit_sasl_authenticated
permit_mynetworks
reject_unauth_destination
reject_unlisted_recipient
%%contains VAR:zimbraMtaRestriction reject_invalid_hostname%%
%%contains VAR:zimbraMtaRestriction reject_non_fqdn_hostname%%
%%contains VAR:zimbraMtaRestriction reject_non_fqdn_sender%%
%%contains VAR:zimbraMtaRestriction reject_unknown_client%%
%%contains VAR:zimbraMtaRestriction reject_unknown_hostname%%
%%contains VAR:zimbraMtaRestriction reject_unknown_sender_domain%%
%%explode reject_rbl_client VAR:zimbraMtaRestrictionRBLs%%
%%contains VAR:zimbraMtaRestriction check_policy_service unix:private/policy%%
permit


al ponerle las reglas reject_unknown_recipient_domain reject_unverified_recipient baja la cantida de spam pero al tratar de enviar cualquer correo desde el webmail de zimbra aparece el siguiente mensaje

Mensaje no enviado; una o más direcciones no han sido aceptadas
direcicones rechazadas (ejemplo) rene_chirivi@yahoo.com



la verion de zimbra es la 7.1.1.GA5169.RHEL5_64 y esta montado sobre un centos 5.6 de 64