Problemas con Postfix y SPAM

classic Classic list List threaded Threaded
14 messages Options
Reply | Threaded
Open this post in threaded view
|

Problemas con Postfix y SPAM

mchisnerman
Hola, que tal, tengo un problema serio con Postfix. Si bien tengo filtros y todo eso, resulta que (no se como), se conectan a la maquina, y desde el mismo localhost, logueandose con un usuario mandan spam hacia afuera. Como si tuviera un virus o algo. Pruebo de todo pero no lo puedo resolver y me esta volviendo loco. Desde ya muchas gracias
Maximiliano
Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

Marco Antonio de Hoyos
El día 15 de octubre de 2012 15:08, mchisnerman
<[hidden email]> escribió:
> Hola, que tal, tengo un problema serio con Postfix. Si bien tengo filtros y
> todo eso, resulta que (no se como), se conectan a la maquina, y desde el
> mismo localhost, logueandose con un usuario mandan spam hacia afuera. Como
> si tuviera un virus o algo. Pruebo de todo pero no lo puedo resolver y me
> esta volviendo loco. Desde ya muchas gracias
> Maximiliano
>

hola..

yo que vos, analizo logueos al servidor, cambio todas las claves de
acceso y uso alguna herramienta para revisar algun rootkit que este
instalado..

ni hablar, si tenes algun webmin corriendo, y deshabilita el servidor
como mail relay..

salu2

--
                 Marco Antonio de Hoyos
                    twitter: @mhoyos
       (011)15-5157-2322 // (011)4268-1557
-----------------------------------------------------------------
“Cuando existe la voluntad, existen mil recursos.
Cuando no existe la voluntad, existen mil excusas”.

--
Ubuntu-ar lista de correo
[hidden email]
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML

Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

mchisnerman
Probe con chkrootkit y nada, webmin tengo en otro puerto ahi lo sque, con el tema de open relay lo testeo con las paginas y me dice que esta todo ok, que no es un open relay.
La verdad que estoy como loco con este tema
Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

Marco Antonio de Hoyos
El día 15 de octubre de 2012 15:25, mchisnerman
<[hidden email]> escribió:
> Probe con chkrootkit y nada, webmin tengo en otro puerto ahi lo sque, con el
> tema de open relay lo testeo con las paginas y me dice que esta todo ok, que
> no es un open relay.
> La verdad que estoy como loco con este tema
>

revisaste que usuarios se loguean al sistema ?? via ssh ?? revisaste y
analistaste logs ?? como detectaste que te lo estan usando para spam
?? el servidor, tiene restringido el acceso fisico ?? pudiste
detectar, que usuario es el que se loguea y manda los mails desde el
localhost ?

son varias cosas que debes revisar antes de volverte loco del todo... :D

salu2



--
                 Marco Antonio de Hoyos
                    twitter: @mhoyos
       (011)15-5157-2322 // (011)4268-1557
-----------------------------------------------------------------
“Cuando existe la voluntad, existen mil recursos.
Cuando no existe la voluntad, existen mil excusas”.

--
Ubuntu-ar lista de correo
[hidden email]
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML

Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

mchisnerman
no es via ssh, los logs me aparecen muchos que quieren enviar pero no pueden porque no los deja por no ser open relay, detecte, porque a la cuenta del intendente le llegaban cientos de mails rebotados.
Es decir, alguien entraba o se logueaba a localhost con esa cuenta (quizas no este bien configurado el postfix), y enviaba cientos de correos. Al venir de vuelta, le llegaban a el a su cuenta y ahi nos dimos cuenta
Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

Marco Antonio de Hoyos
El día 15 de octubre de 2012 15:50, mchisnerman
<[hidden email]> escribió:
> no es via ssh, los logs me aparecen muchos que quieren enviar pero no pueden
> porque no los deja por no ser open relay, detecte, porque a la cuenta del
> intendente le llegaban cientos de mails rebotados.
> Es decir, alguien entraba o se logueaba a localhost con esa cuenta (quizas
> no este bien configurado el postfix), y enviaba cientos de correos. Al venir
> de vuelta, le llegaban a el a su cuenta y ahi nos dimos cuenta
>

en tal caso, revisaria al detalle cada user de sistema, cambiar las
claves de las cuentas de mail y analizar logs de sistema, login y
demas..

salu2


--
                 Marco Antonio de Hoyos
                    twitter: @mhoyos
       (011)15-5157-2322 // (011)4268-1557
-----------------------------------------------------------------
“Cuando existe la voluntad, existen mil recursos.
Cuando no existe la voluntad, existen mil excusas”.

--
Ubuntu-ar lista de correo
[hidden email]
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML

Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

Guillermo Lisi-2
In reply to this post by mchisnerman
On 10/15/2012 03:50 PM, mchisnerman wrote:

> no es via ssh, los logs me aparecen muchos que quieren enviar pero no pueden
> porque no los deja por no ser open relay, detecte, porque a la cuenta del
> intendente le llegaban cientos de mails rebotados.
> Es decir, alguien entraba o se logueaba a localhost con esa cuenta (quizas
> no este bien configurado el postfix), y enviaba cientos de correos. Al venir
> de vuelta, le llegaban a el a su cuenta y ahi nos dimos cuenta
>
>
>
>
> --
> View this message in context: http://ubuntu.5.n6.nabble.com/Problemas-con-Postfix-y-SPAM-tp4996747p4996760.html
> Sent from the Ubuntu Argentina mailing list archive at Nabble.com.
>
Ese postfix no esta como open relay asi que el tema lo encararia como ya
han sugerido: Modificacion masiva de contraseñas (si fuera posible
comunicadas personalmente a cada empleado empezando por el intendente y
nada de "1234" o "cgonzalez".) y revision intensiva y exhaustiva de logs.


--
Guillermo Lisi
http://ubuntu.org.ar
http://ubuntu.org.uy
http://www.guillermolisi.com.ar


--
Ubuntu-ar lista de correo
[hidden email]
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML

Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

mchisnerman
Gente, primero agradecer que esten responiendo. Gracias de Verdad.

El tema de la clave, debo decirte que la hemos cambiado pero el tema sigue, consulta:

El tener en POstfix como login PLAIN, puede ser el problema?

Puedo pegarles si quieren el main.cf si pueden echarle una mirada
Maxi
Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

Guillermo Lisi-2
On 10/15/2012 04:00 PM, mchisnerman wrote:

> Gente, primero agradecer que esten responiendo. Gracias de Verdad.
>
> El tema de la clave, debo decirte que la hemos cambiado pero el tema sigue,
> consulta:
>
> El tener en POstfix como login PLAIN, puede ser el problema?
>
> Puedo pegarles si quieren el main.cf si pueden echarle una mirada
> Maxi
>
>
>
> --
> View this message in context: http://ubuntu.5.n6.nabble.com/Problemas-con-Postfix-y-SPAM-tp4996747p4996764.html
> Sent from the Ubuntu Argentina mailing list archive at Nabble.com.
>
Podes usar Plain Login siempre que el proceso de conexion este dentro de
un canal asegurado con certificado digital (SSL).
Si es Plain Login a secas, sin encriptar ni clave ni sesion, es algo que
ya tenes que cambiar tambien.

Para hacer un analisis completo del servidor deberiamos tener vista de
todos los archivos de configuracion, no solo del main.cf y siendo esta
lista publica (y este tema practicamente inespecifico para su tematica)
no aconsejo mandarlos por aqui.

--
Guillermo Lisi
http://ubuntu.org.ar
http://ubuntu.org.uy
http://www.guillermolisi.com.ar


--
Ubuntu-ar lista de correo
[hidden email]
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML

Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

Guido Ignacio
El 15 de octubre de 2012 16:08, Guillermo Lisi <[hidden email]> escribió:
On 10/15/2012 04:00 PM, mchisnerman wrote:
> Gente, primero agradecer que esten responiendo. Gracias de Verdad.
>
> El tema de la clave, debo decirte que la hemos cambiado pero el tema sigue,
> consulta:
>
> El tener en POstfix como login PLAIN, puede ser el problema?
>
> Puedo pegarles si quieren el main.cf si pueden echarle una mirada
> Maxi
>
>
>
> --
> View this message in context: http://ubuntu.5.n6.nabble.com/Problemas-con-Postfix-y-SPAM-tp4996747p4996764.html
> Sent from the Ubuntu Argentina mailing list archive at Nabble.com.
>
Podes usar Plain Login siempre que el proceso de conexion este dentro de
un canal asegurado con certificado digital (SSL).
Si es Plain Login a secas, sin encriptar ni clave ni sesion, es algo que
ya tenes que cambiar tambien.

Para hacer un analisis completo del servidor deberiamos tener vista de
todos los archivos de configuracion, no solo del main.cf y siendo esta
lista publica (y este tema practicamente inespecifico para su tematica)
no aconsejo mandarlos por aqui.
--
Ubuntu-ar lista de correo
[hidden email]
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML



Como dicen ese stmp no es open relay asi que descartado. Por otro lado y yendo más a lo básico, que SO y cliente de correo usa el intendente?

Te consulto porque capaz pensamos que el problema viene a nivel servidor y el problema es algún virus que tiene el susodicho en su equipo que esté spameando a morir.


--
Ubuntu-ar lista de correo
[hidden email]
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML

Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

Marco Antonio de Hoyos
otra cosa que deberias revisar, si los mails salen directamente del
servidor (localhost) o solo es un pasador de algun cliente de correo..

si es la 2da opcion, tal vez el problema de envio masivo, sea algun
malware o "vicho" que este instalado en alguna pc, y "el rebote" te
pueda dar pistas analizando el header o el contenido del rebote..

salu2


--
                 Marco Antonio de Hoyos
                    twitter: @mhoyos
       (011)15-5157-2322 // (011)4268-1557
-----------------------------------------------------------------
“Cuando existe la voluntad, existen mil recursos.
Cuando no existe la voluntad, existen mil excusas”.

--
Ubuntu-ar lista de correo
[hidden email]
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML

Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

mchisnerman
La verdad, que no hay clientes instalados. Los mails se consultan o bien por webmail o por el blackberry de el.
No hay ningun outlook o similiar descargando los mails de el
Por eso el desconcierto
Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

Guillermo Lisi-2
On 10/15/2012 06:33 PM, mchisnerman wrote:

> La verdad, que no hay clientes instalados. Los mails se consultan o bien por
> webmail o por el blackberry de el.
> No hay ningun outlook o similiar descargando los mails de el
> Por eso el desconcierto
>
>
>
>
> --
> View this message in context: http://ubuntu.5.n6.nabble.com/Problemas-con-Postfix-y-SPAM-tp4996747p4996798.html
> Sent from the Ubuntu Argentina mailing list archive at Nabble.com.
>
No hace falta que existan clientes de e-mail instalados para que algun
malware/virus realice envios.
Los "bichos" contemporaneos poseen su propio SMTP y solo requieren
detectar conexion TCP/IP para activarse y comenzar a enviar mensajes.
Por eso es importantisimo el analisis de los logs. En algun lugar tenes
que ver un login que te llame la atencion, ya sea por su IP o algun otro
parametro fuera de lo esperado para la instalacion que tenes en produccion.

El webmail tambien usa login plano y simple o esta asegurado con SSL ?

--
Guillermo Lisi
http://ubuntu.org.ar
http://ubuntu.org.uy
http://www.guillermolisi.com.ar


--
Ubuntu-ar lista de correo
[hidden email]
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML

Reply | Threaded
Open this post in threaded view
|

Re: [ubuntu-ar] Problemas con Postfix y SPAM

mchisnerman
Lo que hice ahora, es que no permita recibir  mails que no fueran por el webmail. Si bien hay mails que entran pór ips externas a la red, son rechazados por relay. No veo ninguna conexion de una ip dentro de la red.
Hasta ahora pareceria estar funcioanando.
Mañana voy a seguir chequeando, cualquier cosa, les mando por correo privado el main.cf y los archivos que necesites (si es que no tienen problemas), y lo vamos chequeando
Una vez mas agradezco de corazon su ayuda
Maximiliano