[CentOS-es] Ayuda con Servidor Comprometido

Lun Mayo 4 20:46:13 UTC 2015

>    *::Para mi que tienes el servidor de correo muy mal configurado.
Paso a exponer copia de mi main.cf

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
mail_owner = postfix
myhostname = mail.timbo.com.py
mydomain = timbo.com.py
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost, $mydomain

unknown_local_recipient_reject_code = 550

mynetworks = 192.168.30.0/24, 127.0.0.1

relay_domains = $mydestination

relay_recipient_maps = hash:/etc/postfix/relay_recipients
//Aqui tengo copia de todos mis mail y grupos (ALIAS)

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
recipient_delimiter = +

smtpd_banner = $mail_name

local_destination_concurrency_limit = 2
default_destination_concurrency_limit = 20

debug_peer_level = 2

debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         xxgdb $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.3.3/samples

readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES

#Limitando accesos
smtpd_client_connection_count_limit = 25
smtpd_client_message_rate_limit = 25

#SSL/TLS
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/postfix/postfix.pem
smtpd_tls_cert_file = /etc/postfix/postfix.pem
smtpd_tls_CAfile = /etc/postfix/postfix.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

# Soporte para autenticar a través de SASL.
# smtpd_sasl_local_domain = # Solo como referencia.
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous

smtpd_recipient_restrictions =
        reject_invalid_hostname,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        #reject_rbl_client multi.uribl.com,
        #reject_rbl_client dsn.rfc-ignorant.org,
        #reject_rbl_client dul.dnsbl.sorbs.net,
        #reject_rbl_client list.dsbl.org,
        #reject_rbl_client sbl-xbl.spamhaus.org,
        #reject_rbl_client bl.spamcop.net,
        #reject_rbl_client dnsbl.sorbs.net,
        #reject_rbl_client cbl.abuseat.org,
        #reject_rbl_client ix.dnsbl.manitu.net,
        #reject_rbl_client combined.rbl.msrbl.net,
        #reject_rbl_client rabl.nuclearelephant.com,
        permit

smtpd_helo_required = yes
smtpd_helo_restrictions =
        permit_mynetworks,
        check_helo_access hash:/etc/postfix/helo_access,
# Aqui tengo
# mail.timbo.com.py       REJECT
# 201.217.51.105          REJECT
# O sea nadie puede hacer HELO con mi nombre
#    reject_non_fqdn_helo_hostname,
#    reject_invalid_helo_hostname,
        permit

disable_vrfy_command = yes
strict_rfc821_envelopes = yes
invalid_hostname_reject_code = 554
multi_recipient_bounce_reject_code = 554
non_fqdn_reject_code = 554
relay_domains_reject_code = 554
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554
unknown_local_recipient_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_sender_reject_code = 554
unknown_virtual_alias_reject_code = 554
unknown_virtual_mailbox_reject_code = 554
unverified_recipient_reject_code = 554
unverified_sender_reject_code = 554

smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        reject_unknown_sender_domain,
        reject_non_fqdn_sender,
        #DNSBLs:
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client sbl.spamhaus.org,
        #reject_rbl_client combined.njabl.org,
        reject_rbl_client b.barracudacentral.org,
        hash:/etc/postfix/reject,
# Aqui tengo
# timbo.com.py    REJECT
# Con el mismo objetivo de antes
        permit

mailbox_size_limit = 0
message_size_limit = 0

content_filter=amavisfeed:[127.0.0.1]:10024

Y ese es mi main.cf

>    Tienes un exceso de informacion en el log, que no te deja ver claro.
En log también tributan dovecot y amavis. Pero siempre he visto estos
log de esa forma... Si conoces alguna en la que pueda ser más claro me
gustaría que pudieses compartir...

>    Si tuvieses bien configurado todo, sabrias cual es el origen del correo.
De hecho pude saberlo, buscando...

>    Una cosa que no entiendo es que envies un correo de rechazo por un
>    HELO rechazado, estas comprobandolo despues de haber recibido el
>    correo, y eso tienes que comprobarlo antes de recibir todo el correo.
lamentablemente mis clientes internos y externos no tienen configurado
un buen sistema de nombre o mejor dicho NUNCA configuré un DNS
interno, puesto que herede algo que no está a mi gusto y aún así no he
podido configurarlo a mi gusto. Por eso no puedo restringir por el
HELO como quisiera.

Alguna sugerencia al respecto.

Saludos,
David