Re: [CentOS-es] Ayuda con Servidor Comprometido

*::Para mi que tienes el servidor de correo muy mal configurado.

Paso a exponer copia de mi main.cf

queue_directory = /var/spool/postfix command_directory = /usr/sbin daemon_directory = /usr/libexec/postfix mail_owner = postfix myhostname = mail.timbo.com.py mydomain = timbo.com.py myorigin = $mydomain inet_interfaces = all mydestination = $myhostname, localhost, $mydomain

unknown_local_recipient_reject_code = 550

mynetworks = 192.168.30.0/24, 127.0.0.1

relay_domains = $mydestination

relay_recipient_maps = hash:/etc/postfix/relay_recipients //Aqui tengo copia de todos mis mail y grupos (ALIAS)

alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases recipient_delimiter = +

smtpd_banner = $mail_name

local_destination_concurrency_limit = 2 default_destination_concurrency_limit = 20

debug_peer_level = 2

debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin xxgdb $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail.postfix newaliases_path = /usr/bin/newaliases.postfix mailq_path = /usr/bin/mailq.postfix setgid_group = postdrop html_directory = no manpage_directory = /usr/share/man sample_directory = /usr/share/doc/postfix-2.3.3/samples

readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES

#Limitando accesos smtpd_client_connection_count_limit = 25 smtpd_client_message_rate_limit = 25

#SSL/TLS smtp_use_tls = yes smtpd_use_tls = yes smtp_tls_note_starttls_offer = yes smtpd_tls_security_level = may smtpd_tls_key_file = /etc/postfix/postfix.pem smtpd_tls_cert_file = /etc/postfix/postfix.pem smtpd_tls_CAfile = /etc/postfix/postfix.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

# Soporte para autenticar a través de SASL. # smtpd_sasl_local_domain = # Solo como referencia. smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous

smtpd_recipient_restrictions = reject_invalid_hostname, reject_unknown_recipient_domain, reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, #reject_rbl_client multi.uribl.com, #reject_rbl_client dsn.rfc-ignorant.org, #reject_rbl_client dul.dnsbl.sorbs.net, #reject_rbl_client list.dsbl.org, #reject_rbl_client sbl-xbl.spamhaus.org, #reject_rbl_client bl.spamcop.net, #reject_rbl_client dnsbl.sorbs.net, #reject_rbl_client cbl.abuseat.org, #reject_rbl_client ix.dnsbl.manitu.net, #reject_rbl_client combined.rbl.msrbl.net, #reject_rbl_client rabl.nuclearelephant.com, permit

smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, check_helo_access hash:/etc/postfix/helo_access, # Aqui tengo # mail.timbo.com.py REJECT # 201.217.51.105 REJECT # O sea nadie puede hacer HELO con mi nombre # reject_non_fqdn_helo_hostname, # reject_invalid_helo_hostname, permit

disable_vrfy_command = yes strict_rfc821_envelopes = yes invalid_hostname_reject_code = 554 multi_recipient_bounce_reject_code = 554 non_fqdn_reject_code = 554 relay_domains_reject_code = 554 unknown_address_reject_code = 554 unknown_client_reject_code = 554 unknown_hostname_reject_code = 554 unknown_local_recipient_reject_code = 554 unknown_relay_recipient_reject_code = 554 unknown_sender_reject_code = 554 unknown_virtual_alias_reject_code = 554 unknown_virtual_mailbox_reject_code = 554 unverified_recipient_reject_code = 554 unverified_sender_reject_code = 554

smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_sender_domain, reject_non_fqdn_sender, #DNSBLs: reject_rbl_client bl.spamcop.net, reject_rbl_client sbl.spamhaus.org, #reject_rbl_client combined.njabl.org, reject_rbl_client b.barracudacentral.org, hash:/etc/postfix/reject, # Aqui tengo # timbo.com.py REJECT # Con el mismo objetivo de antes permit

mailbox_size_limit = 0 message_size_limit = 0

content_filter=amavisfeed:[127.0.0.1]:10024

Y ese es mi main.cf

Tienes un exceso de informacion en el log, que no te deja ver claro.

En log también tributan dovecot y amavis. Pero siempre he visto estos log de esa forma... Si conoces alguna en la que pueda ser más claro me gustaría que pudieses compartir...

Si tuvieses bien configurado todo, sabrias cual es el origen del correo.

De hecho pude saberlo, buscando...

Una cosa que no entiendo es que envies un correo de rechazo por un HELO rechazado, estas comprobandolo despues de haber recibido el correo, y eso tienes que comprobarlo antes de recibir todo el correo.

lamentablemente mis clientes internos y externos no tienen configurado un buen sistema de nombre o mejor dicho NUNCA configuré un DNS interno, puesto que herede algo que no está a mi gusto y aún así no he podido configurarlo a mi gusto. Por eso no puedo restringir por el HELO como quisiera.

Alguna sugerencia al respecto.

Saludos, David