Quiero no creer si mi server esta spammeando

Imagen de edsxn

Forums: 

Estimados Señores del Foro

Muchas gracias a las personas que den una ojeada a revisar el problema que vengo teniendo y lo cual me tiene mortificado , razon por la cual recurro a su persona, el dia de hoy , acabo de darme cuenta que mi servidor acaba de caer en lista negra. En esta RBL http://dnsbl.invaluement.com/ , la cual me esta originando el rebote con los correos de destino a hotmail.

Mensaje de Rebote


This is the mail system at host mail.miempresa.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

: host mx1.hotmail.com[65.55.37.104] said: 550 SC-001
Unfortunately, messages from MI PUBLICA weren't sent. Please contact
your Internet service provider since part of their network is on our block
list. You can also refer your provider to
http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL
FROM command)

Por lo tanto esto me ha llevado a la siguiente interrogante que esta haciendo oh originado que tenga problemas :

HAciendo un checklist , hace 4 semanas tuvimos un problema similar , y se detecto que tenia el puerto 25 habilitado para todo , ya estaba solucionado esto debido a que lo arreglamos en el FW , pero ahora mi duda es que mi server de correo , esta mandando correo a destinos un poco inciertos para mi.

Revisar este log de un script en el FW : (INTESTOS ACCESO SMTP)


DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:02 fw kernel: INTENTO DE ACCESO A SMTP IN=eth2 OUT=eth0 SRC=10.0.0.2 DST=203.112.196.195 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=57965 DF PROTO=TCP SPT=36146
DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Sep 16 05:32:02 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=40685 DF PROTO=TCP SPT=54098
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:02 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=40745 DF PROTO=TCP SPT=54099
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:03 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=40785 DF PROTO=TCP SPT=54100
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:03 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=40829 DF PROTO=TCP SPT=54101
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:03 fw kernel: INTENTO DE ACCESO A SMTP IN=eth2 OUT=eth0 SRC=10.0.0.2 DST=202.79.18.152 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=30215 DF PROTO=TCP SPT=52578 DP
T=25 WINDOW=5840 RES=0x00 SYN URGP=0
Sep 16 05:32:03 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=40859 DF PROTO=TCP SPT=54102
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:04 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=40893 DF PROTO=TCP SPT=54103
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:04 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=40925 DF PROTO=TCP SPT=54104
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:04 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=40962 DF PROTO=TCP SPT=54105
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:05 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=40995 DF PROTO=TCP SPT=54106
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:05 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=41031 DF PROTO=TCP SPT=54107
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:05 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=41063 DF PROTO=TCP SPT=54108
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:05 fw kernel: INTENTO DE ACCESO A SMTP IN=eth2 OUT=eth0 SRC=10.0.0.2 DST=65.54.188.72 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=47461 DF PROTO=TCP SPT=40566 DPT
=25 WINDOW=5840 RES=0x00 SYN URGP=0
Sep 16 05:32:05 fw kernel: INTENTO DE ACCESO A SMTP IN=eth2 OUT=eth0 SRC=10.0.0.2 DST=65.55.92.136 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=55988 DF PROTO=TCP SPT=60186 DPT
=25 WINDOW=5840 RES=0x00 SYN URGP=0
Sep 16 05:32:05 fw kernel: INTENTO DE ACCESO A SMTP IN=eth2 OUT=eth0 SRC=10.0.0.2 DST=65.54.188.110 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=39812 DF PROTO=TCP SPT=40472 DP
T=25 WINDOW=5840 RES=0x00 SYN URGP=0
Sep 16 05:32:05 fw kernel: INTENTO DE ACCESO A SMTP IN=eth2 OUT=eth0 SRC=10.0.0.2 DST=65.55.37.72 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54639 DF PROTO=TCP SPT=32830 DPT=
25 WINDOW=5840 RES=0x00 SYN URGP=0
Sep 16 05:32:05 fw kernel: INTENTO DE ACCESO A SMTP IN=eth2 OUT=eth0 SRC=10.0.0.2 DST=65.54.188.110 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=27956 DF PROTO=TCP SPT=40474 DP
T=25 WINDOW=5840 RES=0x00 SYN URGP=0
Sep 16 05:32:06 fw kernel: INTENTO DE ACCESO A SMTP IN=eth0 OUT=eth2 SRC=190.232.61.116 DST=10.0.0.2 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=41116 DF PROTO=TCP SPT=54109
DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 16 05:32:06 fw kernel: INTENTO DE ACCESO A SMTP IN=eth2 OUT=eth0 SRC=10.0.0.2 DST=65.55.37.104 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=7852 DF PROTO=TCP SPT=40170 DPT=
25 WINDOW=5840 RES=0x00 SYN URGP=0
Sep 16 05:32:06 fw kernel: INTENTO DE ACCESO A SMTP IN=eth2 OUT=eth0 SRC=10.0.0.2 DST=65.54.188.110 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=13551 DF PROTO=TCP SPT=40493 DP
T=25 WINDOW=5840 RES=0x00 SYN URGP=0
~

Agrego lo siguiente :

eth2 = mi publica
eth0 = la ip de mi server que esta en la DMZ

En verdad me preocupa mucho por que verifico que el trafico en mi server esta alto , que puedo hacer encarecidamente pido su ayuda.. algun exploit sera mi problema .

Gracias por su respuestas

aun no salgo de lista

Imagen de edsxn

llevo mandado como 10 formularios a empresa de DNSL para que me remueva la publica y aun no tengo respuesta.
Ya son casi 8 horas y espero no caer en un problema de reincidencia

Linux Rules

Segun los logs la ip 10.0.0.2

Imagen de Root Bit

Segun los logs la ip 10.0.0.2 esta enviando correos o al menos haciendo uso del puerto 25, lo mas probable es que esa maquina este infectada con algun virus o troyano y esta enviando spam, y claro como debe estar saliendo enmascarada la IP que ve el mundo es la publica y por eso la lista.

Revisa esa PC o en su defecto quitala de la red y vuelve a revisar que otras maquinas pudieran estar infectadas.

Si tienes un servidor de correo revisa que no sea openrelay, usa spamassassin, sfp o alguna otra tecnica para combatir el spam.

There are only 10 types people in the world:
Those who understand binary and those who don't

yo he malogrado algo

Imagen de edsxn

acabo de descubrir un gran gran descuido mio, que espero no repercuta en mi server.

hace poco , mejor dicho un usuario me pido crear un correo info@miempresa.com

Yo lo he activado y analizando esto creo que ocasiona el problema ahora estoy borrando ese mail y mejorando la seguridad con su contraseña

Linux Rules

te recomiendo un rate control

Imagen de juandarcy2000

usa smtp autenticado preferiblemente con certificados tls, pero el rate control es un mecanismo eficiente con eso puede evitar que un spammer en tu red lan use tu mta como servidor spam cuando tu cliente o tu usuario te llame sera porque el mecanismo rate control lo bloqueo por X cantidad de tiempo hasta cumplir la ventana de bloqueo entonces de esa forma controlas los abusdadores.

ok entiendo mi mail server esta siendo usado como mta de spam

Imagen de edsxn

ok entiendo mi mail server esta siendo usado como mta de spam

Sep 16 17:24:25 mail postfix/smtp[9275]: 93176304D5C: to=, relay=vela.ae[83.170.97.83]:25, delay=26, delays=1.6/22/2.1/0.48, dsn=5.0.0, status=bounced (host vela.ae[83.170.97.83] said: 550 relay not permitted (in reply to RCPT TO command))
Sep 16 17:24:25 mail postfix/smtp[9559]: 191B4304E68: to=, relay=vela.ae[83.170.97.83]:25, delay=20, delays=6.6/12/0.71/0.52, dsn=5.0.0, status=bounced (host vela.ae[83.170.97.83] said: 550 relay not permitted (in reply to RCPT TO command))
Sep 16 17:24:25 mail postfix/smtp[9586]: 195C4306620: to=, relay=nata.aero.inbound10.mxlogic.net[208.65.145.3]:25, delay=20, delays=0.61/18/0.68/0.82, dsn=5.0.0, status=bounced (host nata.aero.inbound10.mxlogic.net[208.65.145.3] said: 554 Denied [CS] (Mode: normal) (in reply to end of DATA command))
Sep 16 17:24:25 mail postfix/smtp[9578]: 656EA304E7E: to=, relay=smtp.secureserver.net[216.69.186.201]:25, delay=24, delays=2.8/19/1.7/0.91, dsn=5.0.0, status=bounced (host smtp.secureserver.net[216.69.186.201] said: 550 #5.1.0 Address rejected pithfnxmcp@northjersey.co (in reply to RCPT TO command))
Sep 16 17:24:23 mail postfix/smtp[9271]: 6EE77304E65: host mx00.t-online.de[194.25.134.8] refused to talk to me: 421 IP:MI PUBLICA - Maximum parallel connections for your IP-Address reached
Sep 16 17:24:23 mail postfix/smtp[9297]: 61E34304E66: host mx02.t-online.de[194.25.134.9] refused to talk to me: 421 IP:MI PUBLICA - Maximum parallel connections for your IP-Address reached
Sep 16 17:24:23 mail postfix/smtp[9296]: 627B9304E46: host mx01.t-online.de[194.25.134.72] refused to talk to me: 421 IP:MI PUBLICA - Maximum parallel connections for your IP-Address reached
Sep 16 17:24:23 mail postfix/smtp[9595]: 6F70B304D67: host mx00.t-online.de[194.25.134.8] refused to talk to me: 421 IP: MI PUBLICA - Maximum parallel connections for your IP-Address reached
Sep 16 17:24:23 mail postfix/smtp[9561]: 67E28304D14: host mx02.t-online.de[194.25.134.9] refused to talk to me: 421 IP:

ok veo que tengo un grabE pero grave problema , estan usando mi correo para mandar spam desde fuera de mi red .

Como controlo esto alguien me puede dar una manita si es que quisiera hacerlo desde el firewall denegar que no haya salida ni se esuche el puerto 25 a las publicas maliciosas.
La razon es por que tengo 800 cuentas de correo y de estos tengo 100 blackberrys . me va ser engorroso cambiar TLS , incluso por que mi server de correos esta en mandriva .
Mil gracias y seguimos en contacto.

Linux Rules

un error enorme

Imagen de edsxn

Hola muchachos , si ha alguien le pasas lo mismo le paso este dato, hay que tener cuidado al crear un correo con nombre info + (dominio).

Es por esto verifique que en esta ruta /etc/postfix/aliases y tenia esto


# The following aliases are required by RFC 2142
info: staff
marketing: staff
sales: staff
support: staff

Me pude percatar que los correos basura aprovechan mucho esto info , y para ser honesto puse un pasword sencillo , que derrepente habra sido vulnerado pero fue usado para spamear por tanto listas negras , tacharon mi reputacion de mi mail server.

:jawdrop:

saludos

Linux Rules

El mismo problema

Estimados tengo el mismo inconveniente, al enviar un mensaje solo a algunos dominios me rebota el siguiente mensaje:

[code]

This is the mail system at host mail.cenetperu.net.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to

If you do so, please include this problem report. You can delete your own text from the attached returned message.

The mail system

: host
cemglobal.com.inbound10.mxlogicmx.net[208.65.145.2] said: 554 Denied [CS]
(Mode: normal) (in reply to end of DATA command)

[/code]

Quedo a la espera de su gentil apoyo.

Saludos