[CentOS-es] Problemas con SPAM

David González Romero dgrvedado en gmail.com
Jue Mar 26 21:39:54 UTC 2015


Hola Lista!!

Ya me volvieron a listar. No se que puedo hacer. Alguna ayuda para
saber que me pasa dentro de la red? Algunas ideas o software que me
ayuden a buscar quien está haciendo SPAMER dentro de mi red.

Saludos,
David



El día 26 de marzo de 2015, 7:55, David González Romero
<dgrvedado en gmail.com> escribió:
> Hola Lista!!!
>
> Desde el sábado pasado me están listado como SPAM en diferentes servidores.
>
> La verdad es que ya no se que hacer.
>
> SPAMHAUS es uno de los que me lista con frecuencia. Este es el mensaje
> que me da, claro que esto es solo una traducción:
>
> ---------------------------------------------------------------------
>
> Dirección IP 201.217.51.105 no aparece en el CBL.
>
> Fue enumerado anteriormente, pero se retiró a 03.25.2015 22:21 GMT (hace 1 hora)
>
> En el momento de la eliminación, esta fue la explicación para este listado:
>
> Esta IP está infectada (o natting para un equipo que está infectado)
> con el Conficker A o B Conficker botnet.
>
> Más información acerca de Conficker se puede obtener de Wikipedia
>
> Recuerde: Conficker es no una botnet envío de spam. No , no enviar
> correo electrónico o correo no deseado. No , no utilice el puerto 25.
>
> Por favor, siga estas instrucciones.
>
> .......................................
> ---------------------------------------------------------------------
> Y sigue un texto muy largo de recomendaciones. Ya he buscado con todas
> las herramientas el tema del famoso Conficker. Amén que todos mis
> Winrus están actualizados y creo que tengo corregido esa
> vulnerabilidad.
>
> Pero en fin siguiendo recomendaciones endurecí mi firewall, que por
> desgracia no es un Linux; pues heredé algo ya hecho. Pero si un UNIX
> (pfSense) en ese sentido denegué el acceso a los IP que CBL me
> informa. Además denegué el acceso a los puertos externos 25, 465 y
> 587. Y sobre todo eliminé todos los NAT que podía eliminar, incluido
> de servidores Winroses dentro de la red que precisaban esto.
>
> Ahora ya no aparezco listado en CBL, aunque los Chilenos DNSBL me
> tienen apuntado... una cagada...
>
> Existe alguna forma de yo saber con certeza quien me lista en esos
> servidores antispam? Ellos dicen que usan trampas antispam, pero uno
> de los mismos administradores de de DNSBL de chile me dijo y cito:
> -------------------------------------------------------------------------
> Hola,
>
> Nuestras trampas son absolutamente confidenciales.
>
> Nuestros registros indican que la IP 201.217.51.105 fue encontrada en
> xbl.spamhaus.org y por eso la solicitud de eliminacion fue rechazada.
> La IP debe estar absolutamente limpia para poder ser eliminada de este
> DNSBL.
>
> Sugerimos hacer esta pregunta a spamhaus.org.
>
> Saludos,
> -------------------------------------------------------------------------
> Lo que significa que evidentemente no usan ninguna trampa, sino que
> porque uno me lista, ellos me listan.
>
> Por favor alguna ayuda, porque este tema de eliminarme de las listas y
> que me vuelvan a poner, es una jodedera tramenda.
>
> Mi servidor de correo es Postfix, las configuraciones básicas.
> --------------------------------------------------------------------------
> queue_directory = /var/spool/postfix
> command_directory = /usr/sbin
> daemon_directory = /usr/libexec/postfix
> mail_owner = postfix
>
> #Importante este es el nombre que recupera el DNS
> myhostname = mx.midominio.com
> #Aqui debes poner TODOS los dominios para los que tu recibes correos
> mydomain = midominio.com
> myorigin = $mydomain
> inet_interfaces = all
> mydestination = $myhostname, localhost, $mydomain
>
> unknown_local_recipient_reject_code = 550
> mynetworks = 192.168.30.0/24, 127.0.0.1
>
> relay_domains = $mydestination
>
> #Esto creo que es redundante, pero así venía.
> alias_maps = hash:/etc/aliases
> alias_database = hash:/etc/aliases
>
> recipient_delimiter = +
>
> smtpd_banner = $myhostname ESMTP $mail_name
>
> local_destination_concurrency_limit = 2
> default_destination_concurrency_limit = 20
> debug_peer_level = 2
>
> debugger_command =
>          PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
>          xxgdb $daemon_directory/$process_name $process_id & sleep 5
>
>
> sendmail_path = /usr/sbin/sendmail.postfix
> newaliases_path = /usr/bin/newaliases.postfix
>
> mailq_path = /usr/bin/mailq.postfix
> setgid_group = postdrop
> html_directory = no
> manpage_directory = /usr/share/man
> sample_directory = /usr/share/doc/postfix-2.3.3/samples
> readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES
>
> #Aquí empieza lo bueno.
> #SSL/TLS
> smtp_use_tls = yes
> smtpd_use_tls = yes
> smtp_tls_note_starttls_offer = yes
> smtpd_tls_security_level = may
> smtpd_tls_key_file = /etc/postfix/postfix.pem
> smtpd_tls_cert_file = /etc/postfix/postfix.pem
> smtpd_tls_CAfile = /etc/postfix/postfix.pem
> smtpd_tls_loglevel = 1
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> #smtpd_tls_key_file = /etc/pki/tls/private/timbo.key
> #smtpd_tls_cert_file = /etc/pki/tls/certs/timbo.crt
> # smtpd_tls_CAfile = /etc/pki/tls/root.crt
> #smtpd_tls_loglevel = 1
> #smtpd_tls_session_cache_timeout = 3600s
> #smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_tls_cache
> #tls_random_source = dev:/dev/urandom
> #tls_random_exchange_name = /var/lib/postfix/prng_exch
> #smtpd_tls_auth_only = yes
> # Descartar SSLv2, sólo utilizar SSLv3 y TLSv1 y sólo permitir
> # cifrados mayores a 128-bit.
> #smtpd_tls_mandatory_protocols = SSLv3, TLSv1
> #smtpd_tls_mandatory_ciphers = medium, high
>
> # Soporte para autenticar a través de SASL.
> # smtpd_sasl_local_domain = # Solo como referencia.
> smtpd_sasl_auth_enable = yes
> broken_sasl_auth_clients = yes
> smtpd_sasl_type = dovecot
> smtpd_sasl_path = private/auth
> smtpd_sasl_security_options = noanonymous
>
> #Restricciones para los buzones
> smtpd_recipient_restrictions =
>         permit_mynetworks,
>         permit_sasl_authenticated,
>         reject_unauth_destination
>         #reject_unauth_pipelining,
>         #check_client_access pcre:/usr/pbi/postfix-i386/etc/postfix/cal_pcre,
>         #check_client_access cidr:/usr/pbi/postfix-i386/etc/postfix/cal_cidr,
>         #check_sender_access hash:/etc/postfix/sender_access,
>         #reject_non_fqdn_helo_hostname,
>         #reject_unknown_recipient_domain,
>         #reject_non_fqdn_recipient,
>         #reject_multi_recipient_bounce,
>         #reject_unverified_recipient,
>         #reject_spf_invalid_sender,
>         #permit
>
> smtpd_helo_required = yes
> smtpd_helo_restrictions =
>         permit_mynetworks,
>         check_helo_access hash:/etc/postfix/helo_access,
>         #Desbes crear el archivo helo_access
>         #dentro poner
>         #mx.midominio.com       REJECT
>         #mi.ip.real.de.internet          REJECT
> #    reject_non_fqdn_helo_hostname,
> #    reject_invalid_helo_hostname,
>         permit
>
> #Restriccion para los que envian
> smtpd_sender_restrictions =
>         permit_mynetworks,
>         permit_sasl_authenticated,
>         reject_unauth_destination,
>         reject_unknown_sender_domain,
>         reject_non_fqdn_sender,
>         #DNSBLs:
>         reject_rbl_client bl.spamcop.net,
>         reject_rbl_client sbl.spamhaus.org,
>         #reject_rbl_client combined.njabl.org,
>         reject_rbl_client b.barracudacentral.org,
>         #Esta linea debes crear un archivo en esa ubicacion con ese nombre
>         #luego meter dentro
>         #midominio.com   REJECT
>         hash:/etc/postfix/reject,
>         permit
>
> mailbox_size_limit = 0
> message_size_limit = 0
>
> content_filter=amavisfeed:[127.0.0.1]:10024
> --------------------------------------------------------------------------
> Mis certificados son autofirmados, pero lamentablemente no puedo hacer
> mucho más. Además que la verdad es que no sabría si un certificado me
> resolvería el problema en el que estoy.
>
> Esto es uno de los mensajes que me retorna para atrás.
>
> <paola.gimenez en nexsysla.com.py>: host
>     nexsysla-com-py.mail.protection.outlook.com[207.46.163.170] said: 550 5.7.1
>     Service unavailable; Client host [201.217.51.105] blocked using Spamhaus;
>     To request removal from this list see http://www.spamhaus.org/lookup.lasso
>     (in reply to RCPT TO command)
>
>
>
> Saludos,
> David


Más información sobre la lista de distribución CentOS-es