La libertad del conocimiento al alcance de quien la busca.
Bienvenido(a) a Alcance Libre 27/11/2022, 11:55
Alcance Libre Foros
|
||||||||
 |
Índice del foro > Todo acerca de Linux > Seguridad |
New Topic
Post Reply
|
 Problema con Spam, AYUDA !!!!
|
||
Page navigation |
| Christian |
|
|||||||
Participa poco   Estado: desconectado  Identificado: 09/08/10 Mensajes: 19 |
Hola, buenas tardes a todos, tengo un problema con el Spam y estoy realmente desesperado y no se que hacer, por eso recurro a ustedes que tienen grandes conocimientos.
Tengo un servidor con CentOS 5.5 y Sendmail, donde tengo varios dominios, desde ayer que alguien está haciendo Spam usando mi nombre de dominio, y me llegan cientos de mails de error y rechazos de mails que no se enviaron de mi servidor, ya hice los test de Open Relay, y dieron negativo, el mayor problema es que ya estoy apareciendo en las listas negras, realmente esto me esta causando muchos problemas, alguien sabe que puedo hacer para frenar esto?. Desde ya muchas gracias.
|
|||||||
|
||||||||
| Joel Barrios Dueñas |
|
|||||||
Admin  Estado: desconectado  Identificado: 02/17/07 Mensajes: 1761 Localización:Mexico |
http://www.techsneeze.com/deploy-dkim-milter-multiple-domains-centos-5-sendmail
Y como complementos... http://www.alcancelibre.org/staticpages/index.php/como-spamassassin http://www.alcancelibre.org/staticpages/index.php/configuracion-simple-antivirus-antispam http://www.alcancelibre.org/staticpages/index.php/como-clamav-milter http://www.alcancelibre.org/staticpages/index.php/como-spamass-milter |
|||||||
|
||||||||
| Christian |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 09/08/10 Mensajes: 19 |
Hola Joel, gracias por tu respuesta.
Yo creo que los mails salen de otro servidor que no es el mio, pero usan mi dominio para hacer spam.
Si hago lo que me decis no van a poder usar mas mi dominio para hacer spam?
Muchas gracias
|
|||||||
|
||||||||
| Christian |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 09/08/10 Mensajes: 19 |
Hola Joel, por otro lado te pregunto lo siguiente, me aparecio en los reportes del Logwatch lo siguiente:
Connection attempts using mod_proxy:
209.173.6.208 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s)
216.56.160.238 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s)
63.133.240.1 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s)
67.221.128.18 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s)
A total of 1 sites probed the server
180.167.15.58
A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):
null HTTP Response 302
Requests with error response codes
400 Bad Request
http://lti-mail01.ltinetworks.com:25: 4 Time(s)
http://lti-mail01.ltinetworks.com:25/: 1 Time(s)
403 Forbidden
/: 1 Time(s)
404 Not Found
No se que significa todo esto, puede ser que esto este provocando el problema que tengo?, me siguen llegando cientos de correos con:
The original message was received at Tue, 8 Jan 2013 23:53:56 -0300
from localhost
with id r092rubK011183
Esto me esta llenando la casilla de mails, y me esta poniendo en lista negra.
Estoy desesperado !!!
Desde ya muchas gracias por tus respuestas.
|
|||||||
|
||||||||
| Joel Barrios Dueñas |
|
|||||||
|
Admin Estado: desconectado Identificado: 02/17/07 Mensajes: 1761 Localización:Mexico |
Tu problema se llama mail spoofing y sólo se resuelve si implementas DKIM y SPF.
Aplica el método descrito en el primer documento que te cité y en tu zona de DNS agreda este registro: BASH Formatted Code @ IN TXT "v=spfv1 a mx -all" |
|||||||
|
||||||||
| Christian |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 09/08/10 Mensajes: 19 |
Hola Joel, gracias por tu gentil respuesta, voy a hacer lo que me decis y te cuento como me fue.
Por otro lado en el reporte del Logwatch me aparece lo siguiente:
Connection attempts using mod_proxy:
209.173.6.208 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s)
216.56.160.238 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s)
63.133.240.1 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s)
67.221.128.18 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s)
A total of 1 sites probed the server
180.167.15.58
A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):
null HTTP Response 302
Requests with error response codes
400 Bad Request
http://lti-mail01.ltinetworks.com:25: 4 Time(s)
http://lti-mail01.ltinetworks.com:25/: 1 Time(s)
403 Forbidden
/: 1 Time(s)
404 Not Found
Que significa esto?, es para preocuparme ?
Muchas gracias por tus respuestas.
|
|||||||
|
||||||||
| Christian |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 09/08/10 Mensajes: 19 |
Hola Joel, como estas?
Joel, hice todo lo que dijiste, me siguen llegando cientos de mails rechazados, pero observe que el la cola de mail (mailq) de Sendmail, tengo 60150 correos, lo cual es muchisimo para el flujo de mails que manejo, puede ser que esten saliendo desde mi propio server los mails de spam?, que me hayan puesto algun proceso que los envie?, como puedo identificar esto?
Desde ya muchas gracias.
Saludos.
|
|||||||
|
||||||||
| Joel Barrios Dueñas |
|
|||||||
|
Admin Estado: desconectado Identificado: 02/17/07 Mensajes: 1761 Localización:Mexico |
BASH Formatted Code service sendmail stoprm -fr /var/spool/mqueue/* service sendmail start Habría que revisar a detalle bitácoras del sistema para determinar de dónde están saliendo los mensajes. Sugiero verifiques configuración. Pudiera ser que estés como open-relay. ¿Qué método utilizas para autorizar el envío de correo? Si estás autorizando envío de correo a través de /etc/mail/access es probable que ahí esté tu problema. Por favor, publica en este espacio los contenidos de /etc/mail/local-host-names, /etc/mail/relay-domains, /etc/mail/sendmail.mc y /etc/mail/access. ¿Está actualizado el sistema con los más recientes parches de seguridad? Sí es así, deberías tener el sistema actualizado hasta CentOS 5.8. BASH Formatted Code yum -y update && reboot |
|||||||
|
||||||||
| Christian |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 09/08/10 Mensajes: 19 |
Hola Joel, gracias por tu respuesta, efectivamente estoy autorizando el envio por /etc/mail/access, no corro ningun riesgo si te publico aca como me decis el contenido de los archivos, ya que estan los nombres de dominios, etc?
Muchas gracias |
|||||||
|
||||||||
| Joel Barrios Dueñas |
|
|||||||
|
Admin Estado: desconectado Identificado: 02/17/07 Mensajes: 1761 Localización:Mexico |
Quote by: Christian Hola Joel, gracias por tu respuesta, efectivamente estoy autorizando el envio por /etc/mail/access, no corro ningun riesgo si te publico aca como me decis el contenido de los archivos, ya que estan los nombres de dominios, etc? No, sin problemas. Obviamente ofusca las direcciones IP, dominios e información relevante. Obviamente omite todo lo que creas delicado. Si estás autorizando desde /etc/mail/access en lugar del servicio saslauthd+SSL/TLS, casi seguro te agarraron de open-relay o bien hay un equipo infectado en tu LAN. |
|||||||
|
||||||||
| Christian |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 09/08/10 Mensajes: 19 |
Hola Joel, muchas gracias por tus respuestas y por la ayuda que me estas dando.
Te copio el contenido de los archivos:
En: /etc/mail/local-host-names
tengo:
PHP Formatted Code dominio1.com.ardominio2.com.ar dominio3.com.ar dominio4.com.ar PHP Formatted Code dominio1.com.ardominio2.com.ar dominio3.com.ar dominio4.com.ar PHP Formatted Code # Check the /usr/share/doc/sendmail/README.cf file for a description# of the format of this file. (search for access_db in that file) # The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc # package. # # by default we allow relaying from localhost... localhost.localdomain RELAY localhost RELAY 127.0.0.1 RELAY XXX.XXX.XXX.XXX RELAY dominio1.com.ar RELAY dominio2.com.ar RELAY dominio3.com.ar RELAY dominio4.com.ar RELAY XXX.XXX.XXX.XXX RELAY XXX.XXX.XXX.XXX RELAY XXX.XXX.XXX.XXX RELAY XXX.XXX.XXX.XXX REJECT XXX.XXX.XXX.XXX REJECT XXX.XXX.XXX.XXX REJECT XXX.XXX.XXX.XXX REJECT lti-mail01.ltinetworks.com REJECT PHP Formatted Code divert(-1)dnldnl # dnl # This is the sendmail macro config file for m4. If you make changes to dnl # /etc/mail/sendmail.mc, you will need to regenerate the dnl # /etc/mail/sendmail.cf file by confirming that the sendmail-cf package is dnl # installed and then performing a dnl # dnl # make -C /etc/mail dnl # include(`/usr/share/sendmail-cf/m4/cf.m4')dnl VERSIONID(`setup for linux')dnl OSTYPE(`linux')dnl dnl # dnl # Do not advertize sendmail version. dnl # dnl define(`confSMTP_LOGIN_MSG', `$j Sendmail; $b')dnl dnl # dnl # default logging level is 9, you might want to set it higher to dnl # debug the configuration dnl # dnl define(`confLOG_LEVEL', `9')dnl dnl # dnl # Uncomment and edit the following line if your outgoing mail needs to dnl # be sent out through an external mail server: dnl # dnl define(`SMART_HOST', `smtp.your.provider')dnl dnl # define(`confDEF_USER_ID', ``8:12'')dnl dnl define(`confAUTO_REBUILD')dnl define(`confTO_CONNECT', `1m')dnl define(`confTRY_NULL_MX_LIST', `True')dnl define(`confDONT_PROBE_INTERFACES', `True')dnl define(`PROCMAIL_MAILER_PATH', `/usr/bin/procmail')dnl define(`ALIAS_FILE', `/etc/aliases')dnl define(`STATUS_FILE', `/var/log/mail/statistics')dnl define(`UUCP_MAILER_MAX', `2000000')dnl define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl define(`confPRIVACY_FLAGS', `authwarnings,novrfy,noexpn,restrictqrun')dnl define(`confAUTH_OPTIONS', `A')dnl dnl # dnl # The following allows relaying if the user authenticates, and disallows dnl # plaintext authentication (PLAIN/LOGIN) on non-TLS links dnl # dnl define(`confAUTH_OPTIONS', `A p')dnl dnl # dnl # PLAIN is the preferred plaintext authentication method and used by dnl # Mozilla Mail and Evolution, though Outlook Express and other MUAs do dnl # use LOGIN. Other mechanisms should be used if the connection is not dnl # guaranteed secure. dnl # Please remember that saslauthd needs to be running for AUTH. dnl # TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl dnl # dnl # Rudimentary information on creating certificates for sendmail TLS: dnl # cd /etc/pki/tls/certs; make sendmail.pem dnl # Complete usage: dnl # make -C /etc/pki/tls/certs usage dnl # dnl define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl dnl define(`confCACERT', `/etc/pki/tls/certs/ca-bundle.crt')dnl dnl define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl dnl define(`confSERVER_KEY', `/etc/pki/tls/certs/sendmail.pem')dnl dnl # dnl # This allows sendmail to use a keyfile that is shared with OpenLDAP's dnl # slapd, which requires the file to be readble by group ldap dnl # dnl define(`confDONT_BLAME_SENDMAIL', `groupreadablekeyfile')dnl dnl # dnl define(`confTO_QUEUEWARN', `4h')dnl dnl define(`confTO_QUEUERETURN', `5d')dnl dnl define(`confQUEUE_LA', `12')dnl dnl define(`confREFUSE_LA', `18')dnl define(`confTO_IDENT', `0')dnl dnl FEATURE(delay_checks)dnl FEATURE(`no_default_msa', `dnl')dnl FEATURE(`smrsh', `/usr/sbin/smrsh')dnl FEATURE(`mailertable', `hash -o /etc/mail/mailertable.db')dnl FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl FEATURE(redirect)dnl FEATURE(always_add_domain)dnl FEATURE(use_cw_file)dnl FEATURE(use_ct_file)dnl dnl # dnl # The following limits the number of processes sendmail can fork to accept dnl # incoming messages or process its message queues to 20.) sendmail refuses dnl # to accept connections once it has reached its quota of child processes. dnl # dnl define(`confMAX_DAEMON_CHILDREN', `20')dnl dnl # dnl # Limits the number of new connections per second. This caps the overhead dnl # incurred due to forking new sendmail processes. May be useful against dnl # DoS attacks or barrages of spam. (As mentioned below, a per-IP address dnl # limit would be useful but is not available as an option at this writing.) dnl # dnl define(`confCONNECTION_RATE_THROTTLE', `3')dnl dnl # dnl # The -t option will retry delivery if e.g. the user runs over his quota. dnl # FEATURE(local_procmail, `', `procmail -t -Y -a $h -d $u')dnl FEATURE(`access_db', `hash -T -o /etc/mail/access.db')dnl FEATURE(`blacklist_recipients')dnl EXPOSED_USER(`root')dnl dnl # dnl # For using Cyrus-IMAPd as POP3/IMAP server through LMTP delivery uncomment dnl # the following 2 definitions and activate below in the MAILER section the dnl # cyrusv2 mailer. dnl # dnl define(`confLOCAL_MAILER', `cyrusv2')dnl dnl define(`CYRUSV2_MAILER_ARGS', `FILE /var/lib/imap/socket/lmtp')dnl dnl # dnl # The following causes sendmail to only listen on the IPv4 loopback address dnl # 127.0.0.1 and not on any other network devices. Remove the loopback dnl # address restriction to accept email from the internet or intranet. dnl # DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl dnl # dnl # The following causes sendmail to additionally listen to port 587 for dnl # mail from MUAs that authenticate. Roaming users who can't reach their dnl # preferred sendmail daemon due to port 25 being blocked or redirected find dnl # this useful. dnl # DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl dnl # dnl # The following causes sendmail to additionally listen to port 465, but dnl # starting immediately in TLS mode upon connecting. Port 25 or 587 followed dnl # by STARTTLS is preferred, but roaming clients using Outlook Express can't dnl # do STARTTLS on ports other than 25. Mozilla Mail can ONLY use STARTTLS dnl # and doesn't support the deprecated smtps; Evolution |
|||||||
|
||||||||
| Christian |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 09/08/10 Mensajes: 19 |
Se corto el sendmail.mc
En: /etc/mail/sendmail.mc PHP Formatted Code DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnldnl # dnl # The following causes sendmail to additionally listen to port 465, but dnl # starting immediately in TLS mode upon connecting. Port 25 or 587 followed dnl # by STARTTLS is preferred, but roaming clients using Outlook Express can't dnl # do STARTTLS on ports other than 25. Mozilla Mail can ONLY use STARTTLS dnl # and doesn't support the deprecated smtps; Evolution <1.1.1 uses smtps dnl # when SSL is enabled-- STARTTLS support is available in version 1.1.1. dnl # dnl # For this to work your OpenSSL certificates must be configured. dnl # dnl DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl dnl # dnl # The following causes sendmail to additionally listen on the IPv6 loopback dnl # device. Remove the loopback address restriction listen to the network. dnl # dnl DAEMON_OPTIONS(`port=smtp,Addr=::1, Name=MTA-v6, Family=inet6')dnl dnl # dnl # enable both ipv6 and ipv4 in sendmail: dnl # dnl DAEMON_OPTIONS(`Name=MTA-v4, Family=inet, Name=MTA-v6, Family=inet6') dnl # dnl # We strongly recommend not accepting unresolvable domains if you want to dnl # protect yourself from spam. However, the laptop and users on computers dnl # that do not have 24x7 DNS do need this. dnl # dnl FEATURE(`accept_unresolvable_domains')dnl dnl # dnl FEATURE(`relay_based_on_MX')dnl dnl # dnl # Also accept email sent to "localhost.localdomain" as local email. dnl # LOCAL_DOMAIN(`localhost.localdomain')dnl dnl # dnl # The following example makes mail from this host and any additional dnl # specified domains appear to be sent from mydomain.com dnl # MASQUERADE_AS(`dominio1.com.ar')dnl MASQUERADE_EXCEPTION(`dominio2.com.ar')dnl MASQUERADE_EXCEPTION(`dominio3.com.ar')dnl MASQUERADE_EXCEPTION(`dominio4.com.ar')dnl dnl # dnl # masquerade not just the headers, but the envelope as well dnl # dnl FEATURE(masquerade_envelope)dnl dnl # dnl # masquerade not just @mydomainalias.com, but @*.mydomainalias.com as well dnl # dnl FEATURE(masquerade_entire_domain)dnl dnl # dnl MASQUERADE_DOMAIN(localhost)dnl dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl dnl MASQUERADE_DOMAIN(mydomain.lan)dnl FEATURE(dnsbl, `bl.spamcop.net', `"Rechazado - vea: http://spamcop.net/bl.shtml?"$&{client_addr}')dnl INPUT_MAIL_FILTER(`dkim-milter', `S=local:/var/run/dkim-milter/dkim-milter.sock')dnl define(`confMILTER_MACROS_ENVFROM', `i, {auth_type}, {auth_authen}, {auth_ssf}, {auth_author}, {mail_mailer}, {mail_host}, {mail_addr}')dnl MAILER(smtp)dnl MAILER(procmail)dnl dnl MAILER(cyrusv2)dnl |
|||||||
|
||||||||
| Joel Barrios Dueñas |
|
|||||||
|
Admin Estado: desconectado Identificado: 02/17/07 Mensajes: 1761 Localización:Mexico |
En /etc/mail/access, quita todo lo que tenga RELAY y deja sólo las direcciones IP locales del servidor y las de localhost. Poner los dominios con RELAY te deja abierto como open-relay porque permite que cualquiera que configure un cliente de correo como usuario@dominio.tuyo.algo, automáticamente tiene salida completa. Ese es, hasta donde pude ver, el único problema que tienes.
Utiliza autenticación para SMTP en lugar de hacerlo por RELAY. chkconfig saslauthd on service saslauthd start service sendmail restart |
|||||||
|
||||||||
| Christian |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 09/08/10 Mensajes: 19 |
Hola Joel, gracias por tu respuesta.
Mis clientes usan el Outlook para el envio y recepción de correos, si hago autenticación por SMTP, van a poder seguir usando el Outlook para los mails normalmente? Me perdi un poco (perdona pero no soy experto en esto), el servicio saslauthd lo tendo activado, que tendria que modificar para que esto funcione? Tendría que sacar todos los relay del /etc/mail/access ? Muchas gracias. |
|||||||
|
||||||||
| Joel Barrios Dueñas |
|
|||||||
|
Admin Estado: desconectado Identificado: 02/17/07 Mensajes: 1761 Localización:Mexico |
No, no hay problema. Debes poder autenticar con prácticamente cualquier cliente de correo electrónico. Consulta la sección de manuales de este sitio para detalles de configuración de Sendmail con autenticación.
Al terminar, lee, estudia y aplica el manual de soporte para SSL/TLS. |
|||||||
|
||||||||
01/09/13 03:51PM (Leído 11,059 veces) 
Quote
Page navigation |
| Contenido generado en: 0.49 segundos |
New Topic
Post Reply
|
| Todas las horas son CST. Hora actual 11:55 AM. |
|
|
