Hola amigos esperando que todos se encuentren bien, tengo un servidor Centos 5.10 con Sendmail y la ip esta cayendo en lista negra muy seguido, según los reportes de las listas donde las colocan hay una o varias máquinas que estan haciendo spam, pero en los logs del correo no puedo determinar nada, entoces no se si exista algun software tipo sarg que se lea los logs del correo y muestre un reporte mediante el cuál se pueda ver que equipo es el del problema.
Gracias a todos
César
On 10/30/2013 08:17 AM, César Martinez wrote:
Hola amigos esperando que todos se encuentren bien, tengo un servidor Centos 5.10 con Sendmail y la ip esta cayendo en lista negra muy seguido, según los reportes de las listas donde las colocan hay una o varias máquinas que estan haciendo spam, pero en los logs del correo no puedo determinar nada, entoces no se si exista algun software tipo sarg que se lea los logs del correo y muestre un reporte mediante el cuál se pueda ver que equipo es el del problema.
una o varias máquinas.. esto me permite adivinar que es un servidor que actúa ADEMÁS de proxy (haciendo nat posiblemente) ... si es el caso, bloquea el puerto 25/tcp saliente.. y con eso no caerás más en las listas.
Lo más típico no es que usen tu servidor de correo para enviar el spam (aunque es posible) sino que lo más típico es que usan máquinas contaminadas de la red interna para enviar spam.
Todo esto lo hago sacando por los pelos la conclusión en base a la frase "según los reportes de las listas donde las colocan hay una o varias máquinas que estan haciendo spam"
saludos epe
Gracias EPE, si efectivamente es un proxy transparente también , al cerrar el puerto 25 que mencionas debería cambiar a uno alternativo con el 587 para que puedan enviar emails??
Saludos
César
On 10/30/2013 08:17 AM, César Martinez wrote:
Hola amigos esperando que todos se encuentren bien, tengo un servidor Centos 5.10 con Sendmail y la ip esta cayendo en lista negra muy seguido, según los reportes de las listas donde las colocan hay una o varias máquinas que estan haciendo spam, pero en los logs del correo no puedo determinar nada, entoces no se si exista algun software tipo sarg que se lea los logs del correo y muestre un reporte mediante el cuál se pueda ver que equipo es el del problema.
una o varias máquinas.. esto me permite adivinar que es un servidor que actúa ADEMÁS de proxy (haciendo nat posiblemente) ... si es el caso, bloquea el puerto 25/tcp saliente.. y con eso no caerás más en las listas.
Lo más típico no es que usen tu servidor de correo para enviar el spam (aunque es posible) sino que lo más típico es que usan máquinas contaminadas de la red interna para enviar spam.
Todo esto lo hago sacando por los pelos la conclusión en base a la frase "según los reportes de las listas donde las colocan hay una o varias máquinas que estan haciendo spam"
saludos epe
No lo que EPE intentó decirte es que obligues a tu red a usar tu puerto 25 de tu maquina, no el puerto 25 de cualquier servidor de internet. Es por eso que debes cerrar la salida del 25 externo a tu red... Al menos eso entendí.
Saludos, David
El 30 de octubre de 2013 11:01, César Martinez < cmartinez@servicomecuador.com> escribió:
Gracias EPE, si efectivamente es un proxy transparente también , al cerrar el puerto 25 que mencionas debería cambiar a uno alternativo con el 587 para que puedan enviar emails??
Saludos
César
On 10/30/2013 08:17 AM, César Martinez wrote:
Hola amigos esperando que todos se encuentren bien, tengo un servidor Centos 5.10 con Sendmail y la ip esta cayendo en lista negra muy seguido, según los reportes de las listas donde las colocan hay una o varias máquinas que estan haciendo spam, pero en los logs del correo no puedo determinar nada, entoces no se si exista algun software tipo sarg que se lea los logs del correo y muestre un reporte mediante el cuál se pueda ver que equipo es el del problema.
una o varias máquinas.. esto me permite adivinar que es un servidor que actúa ADEMÁS de proxy (haciendo nat posiblemente) ... si es el caso, bloquea el puerto 25/tcp saliente.. y con eso no caerás más en las
listas.
Lo más típico no es que usen tu servidor de correo para enviar el spam (aunque es posible) sino que lo más típico es que usan máquinas contaminadas de la red interna para enviar spam.
Todo esto lo hago sacando por los pelos la conclusión en base a la frase "según los reportes de las listas donde las colocan hay una o varias máquinas que estan haciendo spam"
saludos epe
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
On 10/30/2013 09:06 AM, David González Romero wrote:
No lo que EPE intentó decirte es que obligues a tu red a usar tu puerto 25 de tu maquina, no el puerto 25 de cualquier servidor de internet. Es por eso que debes cerrar la salida del 25 externo a tu red... Al menos eso entendí.
exacto, pero él tiene una duda lógica: cómo enviarían entonces sus usuarios a su servidor?
no bloqueando la IP de sus servidor con esta regla.. y así cumplimos con lo que tú indicas.. exactamente así
On 10/30/2013 09:31 AM, "Ernesto Pérez Estévez, Ing." wrote:
On 10/30/2013 09:06 AM, David González Romero wrote:
No lo que EPE intentó decirte es que obligues a tu red a usar tu puerto 25 de tu maquina, no el puerto 25 de cualquier servidor de internet. Es por eso que debes cerrar la salida del 25 externo a tu red... Al menos eso entendí.
exacto, pero él tiene una duda lógica: cómo enviarían entonces sus usuarios a su servidor?
no bloqueando la IP de sus servidor con esta regla.. y así cumplimos con lo que tú indicas.. exactamente así
algo así hago
/sbin/iptables -A FORWARD -s $INTERNALNET -p tcp --dport 25 -j DROP
Si mi server de mail está afuera, agrego una línea DELANTE de esta (encima de esta) que diga
/sbin/iptables -A FORWARD -s $INTERNALNET -p tcp --dport 25 -d 1.2.3.4 -j ACCEPT
donde 1.2.3.4 es la IP del server de mail que estaría afuera.
Gracias Epe lo voy a probar haber como me va, alguien conoce un software para reportes de emails tipo Sarg
Cordialmente
César Martínez Mora Ingeniero de Sistemas SERVICOM User Linux 494131
Números Convencionales 02-2554-271 02-2221-386 Extensión 4501 Móvil 09-99374-317 Usa (315) 519-7220 Email & Msn cmartinez@servicomecuador.com Skype servicomecuador Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador Facebook: http://www.facebook.com/servicomec Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.com/blog
Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Edificio Vivanco Castillo 2do. Piso Oficina 201 Quito - Ecuador - Sudamérica
=================================================
Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. =================================================
On 30/10/13 09:33, "Ernesto Pérez Estévez, Ing." wrote:
On 10/30/2013 09:31 AM, "Ernesto Pérez Estévez, Ing." wrote:
On 10/30/2013 09:06 AM, David González Romero wrote:
No lo que EPE intentó decirte es que obligues a tu red a usar tu puerto 25 de tu maquina, no el puerto 25 de cualquier servidor de internet. Es por eso que debes cerrar la salida del 25 externo a tu red... Al menos eso entendí.
exacto, pero él tiene una duda lógica: cómo enviarían entonces sus usuarios a su servidor?
no bloqueando la IP de sus servidor con esta regla.. y así cumplimos con lo que tú indicas.. exactamente así
algo así hago
/sbin/iptables -A FORWARD -s $INTERNALNET -p tcp --dport 25 -j DROP
Si mi server de mail está afuera, agrego una línea DELANTE de esta (encima de esta) que diga
/sbin/iptables -A FORWARD -s $INTERNALNET -p tcp --dport 25 -d 1.2.3.4 -j ACCEPT
donde 1.2.3.4 es la IP del server de mail que estaría afuera.
Para postfix hay varios http://www.postfix.org/addon.html Busca la sesión correspondiente a Logfile analysis Saludos, David
El 31 de octubre de 2013 09:52, César Martinez < cmartinez@servicomecuador.com> escribió:
Gracias Epe lo voy a probar haber como me va, alguien conoce un software para reportes de emails tipo Sarg
Cordialmente
César Martínez Mora Ingeniero de Sistemas SERVICOM User Linux 494131
Números Convencionales 02-2554-271 02-2221-386 Extensión 4501 Móvil 09-99374-317 Usa (315) 519-7220 Email & Msn cmartinez@servicomecuador.com Skype servicomecuador Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador Facebook: http://www.facebook.com/servicomec Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.com/blog
Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Edificio Vivanco Castillo 2do. Piso Oficina 201 Quito - Ecuador - Sudamérica
=================================================
Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. =================================================
On 30/10/13 09:33, "Ernesto Pérez Estévez, Ing." wrote:
On 10/30/2013 09:31 AM, "Ernesto Pérez Estévez, Ing." wrote:
On 10/30/2013 09:06 AM, David González Romero wrote:
No lo que EPE intentó decirte es que obligues a tu red a usar tu
puerto 25
de tu maquina, no el puerto 25 de cualquier servidor de internet. Es
por
eso que debes cerrar la salida del 25 externo a tu red... Al menos eso entendí.
exacto, pero él tiene una duda lógica: cómo enviarían entonces sus usuarios a su servidor?
no bloqueando la IP de sus servidor con esta regla.. y así cumplimos con lo que tú indicas.. exactamente así
algo así hago
/sbin/iptables -A FORWARD -s $INTERNALNET -p tcp --dport 25 -j DROP
Si mi server de mail está afuera, agrego una línea DELANTE de esta (encima de esta) que diga
/sbin/iptables -A FORWARD -s $INTERNALNET -p tcp --dport 25 -d 1.2.3.4 -j ACCEPT
donde 1.2.3.4 es la IP del server de mail que estaría afuera.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Gracias encontré Mailwatch voy a probarlo haber como me va muchas gracias a todos
César
Para postfix hay varios http://www.postfix.org/addon.html Busca la sesión correspondiente a Logfile analysis Saludos, David
El 31 de octubre de 2013 09:52, César Martinez < cmartinez@servicomecuador.com> escribió:
Gracias Epe lo voy a probar haber como me va, alguien conoce un software para reportes de emails tipo Sarg
Cordialmente
César Martínez Mora Ingeniero de Sistemas SERVICOM User Linux 494131
Números Convencionales 02-2554-271 02-2221-386 Extensión 4501 Móvil 09-99374-317 Usa (315) 519-7220 Email & Msn cmartinez@servicomecuador.com Skype servicomecuador Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador Facebook: http://www.facebook.com/servicomec Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.com/blog
Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Edificio Vivanco Castillo 2do. Piso Oficina 201 Quito - Ecuador - Sudamérica
=================================================
Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. =================================================
On 30/10/13 09:33, "Ernesto Pérez Estévez, Ing." wrote:
On 10/30/2013 09:31 AM, "Ernesto Pérez Estévez, Ing." wrote:
On 10/30/2013 09:06 AM, David González Romero wrote:
No lo que EPE intentó decirte es que obligues a tu red a usar tu
puerto 25
de tu maquina, no el puerto 25 de cualquier servidor de internet. Es
por
eso que debes cerrar la salida del 25 externo a tu red... Al menos eso entendí.
exacto, pero él tiene una duda lógica: cómo enviarían entonces sus usuarios a su servidor?
no bloqueando la IP de sus servidor con esta regla.. y así cumplimos con lo que tú indicas.. exactamente así
algo así hago
/sbin/iptables -A FORWARD -s $INTERNALNET -p tcp --dport 25 -j DROP
Si mi server de mail está afuera, agrego una línea DELANTE de esta (encima de esta) que diga
/sbin/iptables -A FORWARD -s $INTERNALNET -p tcp --dport 25 -d 1.2.3.4 -j ACCEPT
donde 1.2.3.4 es la IP del server de mail que estaría afuera.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
On 10/30/2013 09:01 AM, César Martinez wrote:
Gracias EPE, si efectivamente es un proxy transparente también , al cerrar el puerto 25 que mencionas debería cambiar a uno alternativo con el 587 para que puedan enviar emails??
sigo adivinando pero me parece correcto lo que diré: es un servidor de proxy y además los usuarios le usan para enviar mails.
por tanto bloquearás en salida (o en forward mejor) los intentos de conexión desde la lan a la wan. esto no bloqueará el que accedan a tu server de mail (que es donde mismo ocurre el bloqueo).. así que ellos podrán seguir enviando.
Pero en todo caso, desde hace muchos años se recomienda el uso de 587 para enviar mails y no más el 25 así que no estaría de más que le hagas eso también.
En todo caso lo que deberias implementar es un sistema antispam y antivirus en tu servidor. Limitar los acceso y relay y asi de esas forma asegurar mejor tu sistema de mail. Spamassassin se puede implementar con Sendmail, lo mismo que ClamAv y creo que Amavis-new tambien tiene esa posibilidad por medio de un milter.
Suerte, David
El 30 de octubre de 2013 10:17, César Martinez < cmartinez@servicomecuador.com> escribió:
Hola amigos esperando que todos se encuentren bien, tengo un servidor Centos 5.10 con Sendmail y la ip esta cayendo en lista negra muy seguido, según los reportes de las listas donde las colocan hay una o varias máquinas que estan haciendo spam, pero en los logs del correo no puedo determinar nada, entoces no se si exista algun software tipo sarg que se lea los logs del correo y muestre un reporte mediante el cuál se pueda ver que equipo es el del problema.
Gracias a todos
César _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Gracias por responder David me olvide de mencionar que tengo MailScanner Spamassis, el mensaje que me da una de las listas es este
Network 190.11.241.178/32: This host has not been previously delisted but is not eligible for delisting until at least Fri Nov 1 05:06:15 2013 GMT+0
We are setting this ticket to 'Rejected', as an action is required in your part before we can update our lists regarding the IP address(es) you wrote to us about.
Action required: As you are requesting a delisting of an IP/Network that has either sent spam recently or has sent so much spam that it exceeds our preset thresholds you must reply to this message justifying your cause and why you think you should be delisted.
Someone will then review your case and reply accordingly.
Gracias nuevamente
En todo caso lo que deberias implementar es un sistema antispam y antivirus en tu servidor. Limitar los acceso y relay y asi de esas forma asegurar mejor tu sistema de mail. Spamassassin se puede implementar con Sendmail, lo mismo que ClamAv y creo que Amavis-new tambien tiene esa posibilidad por medio de un milter.
Suerte, David
El 30 de octubre de 2013 10:17, César Martinez < cmartinez@servicomecuador.com> escribió:
Hola amigos esperando que todos se encuentren bien, tengo un servidor Centos 5.10 con Sendmail y la ip esta cayendo en lista negra muy seguido, según los reportes de las listas donde las colocan hay una o varias máquinas que estan haciendo spam, pero en los logs del correo no puedo determinar nada, entoces no se si exista algun software tipo sarg que se lea los logs del correo y muestre un reporte mediante el cuál se pueda ver que equipo es el del problema.
Gracias a todos
César _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es