[CentOS-es] Problemas con SPAM
David González Romero
dgrvedado en gmail.com
Lun Mar 30 11:10:19 UTC 2015
Bueno la cuestión es sencilla.
Ni mi postfix, ni mi dovecot están infestados. Están más que revisados
y como dije implemente tantas restricciones que ahora tengo a los
usuarios arriba para poder enviar correo correctamente.
Con todas las herramientas de búsquedas que CBL me proponia pude
scanear toda la red y ningun infección de este tipo es efectiva.
Además no es posible salir al puerto 25 de internet, salvo por el
propio servidor, donde si hay SPAM está el Amavis-new + Spamassassin +
ClamAV haciendo de las suyas. Tengo usuarios fuera de la red revzando
mail, para ellos, TLS y SASL, el puerto 110 y 143 están bloqueados,
solo acceso al 993 y 995. Incluso tengo hasta prohibido el relay a mi
propio dominio, porque solo lo usa el server. Así que si la
autenticación no funciona. No pueden enviar mail. He estado
verificando las IP que me decian que accedia, cosa que en ningun
registro de mi firewall aparecia y sigue sin haber acceso a las
mismas.
Sin embargo estoy monitoreando desde la semana pasada el Firewall, por
si veo acceso a puerto 25 u otro raro desde la red de forma directa.
Claro que mi Squid no cuenta, pero para eso está restringido el acceso
a internet a casi toda la red. Que me sirvió la situación para cambiar
algunas cosas dentro de la red, me sirvió. Sin embargo pienso que la
politica antispam de internet está mal diseñada; porque apuntaban un
acceso a una IP que tenia bloqueda desde hace mucho tiempo.
Sin embargo sigo viendo todas las recomendaciones que me dan acá.
Saludos,
David
El día 27 de marzo de 2015, 21:40, angel jauregui
<darkdiabliyo en gmail.com> escribió:
> YO te aconsejo aprendas a programar y coloques tu script en el master.cnf
> para que desde que entre a la cola de correos de postfix, tu lo registres.
>
> Al menos asi lo resolveria yo :D
>
> Saludos !
>
> El 27 de marzo de 2015, 20:38, angel jauregui <darkdiabliyo en gmail.com>
> escribió:
>
>> a mi tambien me llego a SPAM este correo :S
>>
>> El 27 de marzo de 2015, 20:36, Diego Sanchez <diegors en gmail.com> escribió:
>>
>> http://www.postfix.org/TUNING_README.html#conn_limit
>>>
>>> En postfix, utiliza "postqueue -p" para ver quien es el usuario más activo
>>>
>>> Utiliza SPF/DKIM los correos salientes.
>>>
>>> Chequea los correos salientes con AV/AS.
>>>
>>>
>>> 2015-03-26 19:02 GMT-03:00 Peter Q. <btoven66 en gmail.com>:
>>>
>>> > Mas bien tú estas haciendo spam, ya que tú correo me llegó en la carpeta
>>> > spam y si en los miembros de la lista también les llegó en spam, nadien
>>> va
>>> > a poder ayudarte.
>>> > On Mar 26, 2015 3:39 PM, "David González Romero" <dgrvedado en gmail.com>
>>> > wrote:
>>> >
>>> > > Hola Lista!!
>>> > >
>>> > > Ya me volvieron a listar. No se que puedo hacer. Alguna ayuda para
>>> > > saber que me pasa dentro de la red? Algunas ideas o software que me
>>> > > ayuden a buscar quien está haciendo SPAMER dentro de mi red.
>>> > >
>>> > > Saludos,
>>> > > David
>>> > >
>>> > >
>>> > >
>>> > > El día 26 de marzo de 2015, 7:55, David González Romero
>>> > > <dgrvedado en gmail.com> escribió:
>>> > > > Hola Lista!!!
>>> > > >
>>> > > > Desde el sábado pasado me están listado como SPAM en diferentes
>>> > > servidores.
>>> > > >
>>> > > > La verdad es que ya no se que hacer.
>>> > > >
>>> > > > SPAMHAUS es uno de los que me lista con frecuencia. Este es el
>>> mensaje
>>> > > > que me da, claro que esto es solo una traducción:
>>> > > >
>>> > > >
>>> ---------------------------------------------------------------------
>>> > > >
>>> > > > Dirección IP 201.217.51.105 no aparece en el CBL.
>>> > > >
>>> > > > Fue enumerado anteriormente, pero se retiró a 03.25.2015 22:21 GMT
>>> > (hace
>>> > > 1 hora)
>>> > > >
>>> > > > En el momento de la eliminación, esta fue la explicación para este
>>> > > listado:
>>> > > >
>>> > > > Esta IP está infectada (o natting para un equipo que está infectado)
>>> > > > con el Conficker A o B Conficker botnet.
>>> > > >
>>> > > > Más información acerca de Conficker se puede obtener de Wikipedia
>>> > > >
>>> > > > Recuerde: Conficker es no una botnet envío de spam. No , no enviar
>>> > > > correo electrónico o correo no deseado. No , no utilice el puerto
>>> 25.
>>> > > >
>>> > > > Por favor, siga estas instrucciones.
>>> > > >
>>> > > > .......................................
>>> > > >
>>> ---------------------------------------------------------------------
>>> > > > Y sigue un texto muy largo de recomendaciones. Ya he buscado con
>>> todas
>>> > > > las herramientas el tema del famoso Conficker. Amén que todos mis
>>> > > > Winrus están actualizados y creo que tengo corregido esa
>>> > > > vulnerabilidad.
>>> > > >
>>> > > > Pero en fin siguiendo recomendaciones endurecí mi firewall, que por
>>> > > > desgracia no es un Linux; pues heredé algo ya hecho. Pero si un UNIX
>>> > > > (pfSense) en ese sentido denegué el acceso a los IP que CBL me
>>> > > > informa. Además denegué el acceso a los puertos externos 25, 465 y
>>> > > > 587. Y sobre todo eliminé todos los NAT que podía eliminar, incluido
>>> > > > de servidores Winroses dentro de la red que precisaban esto.
>>> > > >
>>> > > > Ahora ya no aparezco listado en CBL, aunque los Chilenos DNSBL me
>>> > > > tienen apuntado... una cagada...
>>> > > >
>>> > > > Existe alguna forma de yo saber con certeza quien me lista en esos
>>> > > > servidores antispam? Ellos dicen que usan trampas antispam, pero uno
>>> > > > de los mismos administradores de de DNSBL de chile me dijo y cito:
>>> > > >
>>> >
>>> -------------------------------------------------------------------------
>>> > > > Hola,
>>> > > >
>>> > > > Nuestras trampas son absolutamente confidenciales.
>>> > > >
>>> > > > Nuestros registros indican que la IP 201.217.51.105 fue encontrada
>>> en
>>> > > > xbl.spamhaus.org y por eso la solicitud de eliminacion fue
>>> rechazada.
>>> > > > La IP debe estar absolutamente limpia para poder ser eliminada de
>>> este
>>> > > > DNSBL.
>>> > > >
>>> > > > Sugerimos hacer esta pregunta a spamhaus.org.
>>> > > >
>>> > > > Saludos,
>>> > > >
>>> >
>>> -------------------------------------------------------------------------
>>> > > > Lo que significa que evidentemente no usan ninguna trampa, sino que
>>> > > > porque uno me lista, ellos me listan.
>>> > > >
>>> > > > Por favor alguna ayuda, porque este tema de eliminarme de las
>>> listas y
>>> > > > que me vuelvan a poner, es una jodedera tramenda.
>>> > > >
>>> > > > Mi servidor de correo es Postfix, las configuraciones básicas.
>>> > > >
>>> > >
>>> >
>>> --------------------------------------------------------------------------
>>> > > > queue_directory = /var/spool/postfix
>>> > > > command_directory = /usr/sbin
>>> > > > daemon_directory = /usr/libexec/postfix
>>> > > > mail_owner = postfix
>>> > > >
>>> > > > #Importante este es el nombre que recupera el DNS
>>> > > > myhostname = mx.midominio.com
>>> > > > #Aqui debes poner TODOS los dominios para los que tu recibes correos
>>> > > > mydomain = midominio.com
>>> > > > myorigin = $mydomain
>>> > > > inet_interfaces = all
>>> > > > mydestination = $myhostname, localhost, $mydomain
>>> > > >
>>> > > > unknown_local_recipient_reject_code = 550
>>> > > > mynetworks = 192.168.30.0/24, 127.0.0.1
>>> > > >
>>> > > > relay_domains = $mydestination
>>> > > >
>>> > > > #Esto creo que es redundante, pero así venía.
>>> > > > alias_maps = hash:/etc/aliases
>>> > > > alias_database = hash:/etc/aliases
>>> > > >
>>> > > > recipient_delimiter = +
>>> > > >
>>> > > > smtpd_banner = $myhostname ESMTP $mail_name
>>> > > >
>>> > > > local_destination_concurrency_limit = 2
>>> > > > default_destination_concurrency_limit = 20
>>> > > > debug_peer_level = 2
>>> > > >
>>> > > > debugger_command =
>>> > > > PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
>>> > > > xxgdb $daemon_directory/$process_name $process_id & sleep 5
>>> > > >
>>> > > >
>>> > > > sendmail_path = /usr/sbin/sendmail.postfix
>>> > > > newaliases_path = /usr/bin/newaliases.postfix
>>> > > >
>>> > > > mailq_path = /usr/bin/mailq.postfix
>>> > > > setgid_group = postdrop
>>> > > > html_directory = no
>>> > > > manpage_directory = /usr/share/man
>>> > > > sample_directory = /usr/share/doc/postfix-2.3.3/samples
>>> > > > readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES
>>> > > >
>>> > > > #Aquí empieza lo bueno.
>>> > > > #SSL/TLS
>>> > > > smtp_use_tls = yes
>>> > > > smtpd_use_tls = yes
>>> > > > smtp_tls_note_starttls_offer = yes
>>> > > > smtpd_tls_security_level = may
>>> > > > smtpd_tls_key_file = /etc/postfix/postfix.pem
>>> > > > smtpd_tls_cert_file = /etc/postfix/postfix.pem
>>> > > > smtpd_tls_CAfile = /etc/postfix/postfix.pem
>>> > > > smtpd_tls_loglevel = 1
>>> > > > smtpd_tls_received_header = yes
>>> > > > smtpd_tls_session_cache_timeout = 3600s
>>> > > > #smtpd_tls_key_file = /etc/pki/tls/private/timbo.key
>>> > > > #smtpd_tls_cert_file = /etc/pki/tls/certs/timbo.crt
>>> > > > # smtpd_tls_CAfile = /etc/pki/tls/root.crt
>>> > > > #smtpd_tls_loglevel = 1
>>> > > > #smtpd_tls_session_cache_timeout = 3600s
>>> > > > #smtpd_tls_session_cache_database =
>>> > > btree:/var/lib/postfix/smtpd_tls_cache
>>> > > > #tls_random_source = dev:/dev/urandom
>>> > > > #tls_random_exchange_name = /var/lib/postfix/prng_exch
>>> > > > #smtpd_tls_auth_only = yes
>>> > > > # Descartar SSLv2, sólo utilizar SSLv3 y TLSv1 y sólo permitir
>>> > > > # cifrados mayores a 128-bit.
>>> > > > #smtpd_tls_mandatory_protocols = SSLv3, TLSv1
>>> > > > #smtpd_tls_mandatory_ciphers = medium, high
>>> > > >
>>> > > > # Soporte para autenticar a través de SASL.
>>> > > > # smtpd_sasl_local_domain = # Solo como referencia.
>>> > > > smtpd_sasl_auth_enable = yes
>>> > > > broken_sasl_auth_clients = yes
>>> > > > smtpd_sasl_type = dovecot
>>> > > > smtpd_sasl_path = private/auth
>>> > > > smtpd_sasl_security_options = noanonymous
>>> > > >
>>> > > > #Restricciones para los buzones
>>> > > > smtpd_recipient_restrictions =
>>> > > > permit_mynetworks,
>>> > > > permit_sasl_authenticated,
>>> > > > reject_unauth_destination
>>> > > > #reject_unauth_pipelining,
>>> > > > #check_client_access
>>> > > pcre:/usr/pbi/postfix-i386/etc/postfix/cal_pcre,
>>> > > > #check_client_access
>>> > > cidr:/usr/pbi/postfix-i386/etc/postfix/cal_cidr,
>>> > > > #check_sender_access hash:/etc/postfix/sender_access,
>>> > > > #reject_non_fqdn_helo_hostname,
>>> > > > #reject_unknown_recipient_domain,
>>> > > > #reject_non_fqdn_recipient,
>>> > > > #reject_multi_recipient_bounce,
>>> > > > #reject_unverified_recipient,
>>> > > > #reject_spf_invalid_sender,
>>> > > > #permit
>>> > > >
>>> > > > smtpd_helo_required = yes
>>> > > > smtpd_helo_restrictions =
>>> > > > permit_mynetworks,
>>> > > > check_helo_access hash:/etc/postfix/helo_access,
>>> > > > #Desbes crear el archivo helo_access
>>> > > > #dentro poner
>>> > > > #mx.midominio.com REJECT
>>> > > > #mi.ip.real.de.internet REJECT
>>> > > > # reject_non_fqdn_helo_hostname,
>>> > > > # reject_invalid_helo_hostname,
>>> > > > permit
>>> > > >
>>> > > > #Restriccion para los que envian
>>> > > > smtpd_sender_restrictions =
>>> > > > permit_mynetworks,
>>> > > > permit_sasl_authenticated,
>>> > > > reject_unauth_destination,
>>> > > > reject_unknown_sender_domain,
>>> > > > reject_non_fqdn_sender,
>>> > > > #DNSBLs:
>>> > > > reject_rbl_client bl.spamcop.net,
>>> > > > reject_rbl_client sbl.spamhaus.org,
>>> > > > #reject_rbl_client combined.njabl.org,
>>> > > > reject_rbl_client b.barracudacentral.org,
>>> > > > #Esta linea debes crear un archivo en esa ubicacion con ese
>>> > > nombre
>>> > > > #luego meter dentro
>>> > > > #midominio.com REJECT
>>> > > > hash:/etc/postfix/reject,
>>> > > > permit
>>> > > >
>>> > > > mailbox_size_limit = 0
>>> > > > message_size_limit = 0
>>> > > >
>>> > > > content_filter=amavisfeed:[127.0.0.1]:10024
>>> > > >
>>> > >
>>> >
>>> --------------------------------------------------------------------------
>>> > > > Mis certificados son autofirmados, pero lamentablemente no puedo
>>> hacer
>>> > > > mucho más. Además que la verdad es que no sabría si un certificado
>>> me
>>> > > > resolvería el problema en el que estoy.
>>> > > >
>>> > > > Esto es uno de los mensajes que me retorna para atrás.
>>> > > >
>>> > > > <paola.gimenez en nexsysla.com.py>: host
>>> > > > nexsysla-com-py.mail.protection.outlook.com[207.46.163.170]
>>> said:
>>> > > 550 5.7.1
>>> > > > Service unavailable; Client host [201.217.51.105] blocked using
>>> > > Spamhaus;
>>> > > > To request removal from this list see
>>> > > http://www.spamhaus.org/lookup.lasso
>>> > > > (in reply to RCPT TO command)
>>> > > >
>>> > > >
>>> > > >
>>> > > > Saludos,
>>> > > > David
>>> > > _______________________________________________
>>> > > CentOS-es mailing list
>>> > > CentOS-es en centos.org
>>> > > http://lists.centos.org/mailman/listinfo/centos-es
>>> > >
>>> > _______________________________________________
>>> > CentOS-es mailing list
>>> > CentOS-es en centos.org
>>> > http://lists.centos.org/mailman/listinfo/centos-es
>>> >
>>>
>>>
>>>
>>> --
>>> Diego - Yo no soy paranoico! (pero que me siguen, me siguen)
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.cantu en sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
Más información sobre la lista de distribución CentOS-es