Forums:
Saludos
Tengo un CentOS + MailScanner ==> Sendmail
revisando en el log ---> /var/log/maillog se encontro esto.
[code]Nov 17 05:50:44 maildomain sendmail[13491]: mAHAogNF013491: from=, size=34637, class=0, nrcpts=1, msgid=<028101c948a4$a370e0d0$ea52a270$@com>, proto=ESMTP, daemon=MTA, relay=smtp1$
Nov 17 05:51:08 maildomain MailScanner[13386]: Content Checks: Detected and have disarmed phishing tags in HTML message in mAHAogNF013491 from exams@itpreneurs.com[/code]El detalle es que se esta esperando un correo de exams@itpreneurs.com que contiene el login y usuario para un examen. Es de extrama urgencia porque se pago una gran cantidad de dolares para poder presentar este mensaje via online.
El detalle del log es claro el mensaje se recibio al servidor de correo corporativo hoy pero tambien se detalla que se detecto un PHISHING en el contenido HTML. He buscado por todas partes ese correo pero no lo encuentro.
He buscado de varias formas:
find / -name mAHAogNF013491
locate mAHAogNF013491
comando --> mailq
se busco en la carpeta Spam .. aclarar que la carpeta Spam es compartida para todos los usuarios del correo.. Es decir en el dir Home se creo un archivo de nombre "mail_spam" y se crea un enlace simbolica cada vez que se crea un usuario nuevo ln –s /home/mail_spam /home/nombre_usuario/mail/spam y se suscribe cada usuario a esa carpeta.
En Fin necesito ayuda. en donde estara ese mensaje. !!! Tambien Busque en la carpeta "/var/spool/MailScanner/quarantine/" pero aparecen muchas carpetas con numeros.
Agradezco de antemano !
a no ser que haya ajustado
a no ser que haya ajustado su configuración, los phishing solamente se marcan como tal se desarman (se pone una advertencia en el mail) pero se entregan normalmente al usuario.
egrep mAHAogNF013491 /var/log/maillog
te dirá todo lo que ocurrió pues solamente pones la linea del from y la del mailscanner mas no la del to
Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Gracias por tu respuesta Te
Gracias por tu respuesta
Te refieres a esto
Nov 17 05:50:44 maildomain sendmail[13491]: mAHAogNF013491: from=, size=34637, class=0, nrcpts=1, msgid=<028101c948a4$a370e0d0$ea52a270$@c$
Nov 17 05:51:08 maildomain MailScanner[13386]: Found phishing fraud from exam2.itsmcampus.com claiming to be www.exam.bestpracticelearning.com in mAHAogNF013491
Nov 17 05:51:08 maildomain MailScanner[13386]: Content Checks: Detected and have disarmed phishing tags in HTML message in mAHAogNF013491 from exams@itpreneurs.$
Nov 17 05:51:25 maildomain sendmail[13502]: mAHAogNF013491: to=, delay=00:00:42, xdelay=00:00:17, mailer=local, pri=154637, dsn=2.0.0, sta$
El detalle es que "PEPE" nunca recibió el correo nisiquiera en el SPAM !!!!
Por si se vuele a recibir otro correo como evitar que esto pase... hice lo siguiente no se si sea suficiente :
/etc/MailScanner/phishing.safe.sites.conf << *.itpreneurs.com
/root/.spamassassin/user_prefs << whitelist_from exams@itpreneurs.com
falta un pedazo en los logs,
falta un pedazo en los logs, stat= ???? stat que? Si dice sent, olvídalo que el usuario si lo recibió.. en serio
Por la otra parte, los phishing no son eliminados por mailscanner sino solamente marcados. Esto de agregarlo en safe sites seguramente funcionará, sigue la documentación para ese archivo en particular (no le he usado nunca a ese archivo por eso no te puedo confirmar)
Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre