Forums:
hola amigos mi tema es como sigue, cada 30 dias ingreso y me retiran del black list de hotmail & gmail, mi red es con win2 - estuve "eliminando amenazas" "virus - troyanos - gusanos"; me gustaría saber si alguien tiene alguna experiencia similar para aconsejarme que hacer para salir de una vez por todas, el trafico de correos no es como para catalogarse como spammer, a continuacion los rebotes de mail:
: host mx4.hotmail.com[65.54.188.72] said: 550 SC-001
(BAY0-MC1-F13) Unfortunately, messages from 190.128.231.174 weren't sent.
Please contact your Internet service provider since part of their network
is on our block list. You can also refer your provider to
http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL
FROM command)
: host gmail-smtp-in.l.google.com[74.125.130.26] said:
550-5.7.1 [190.128.231.174 1] Our system has detected an unusual rate
of 550-5.7.1 unsolicited mail originating from your IP address. To protect
our 550-5.7.1 users from spam, mail sent from your IP address has been
blocked. 550-5.7.1 Please visit
http://www.google.com/mail/help/bulk_mail.html to review 550 5.7.1 our Bulk
Email Senders Guidelines. d62si4018280yhd.291 - gsmtp (in reply to end of
DATA command)
lo peor de todo es que hotmail(outlook.com) genera una clave o ticket de desliste y lo retira en 24hs, pero gmail no, se toman el puto tiempo que quieren y eso me caga, la presion aumenta con el paso de los dias.
con que comandos podria ver que usuario tiene actividad o algun ranking de envios de correos por usuarios.
saludos
gracias
claro, aparentemente tu red
claro, aparentemente tu red tiene problemas de envío de spam, desde máquinas PCs de la red. Estas son máquinas que no deberían estar conectándose al puerto 25/tcp (smtp) de ningún equipo en internet.
es decir, si desde una pc de tu red lan puedes escribir:
telnet mx1.hotmail.com 25
y te abre una sesión, eso significa que cualquier máquina puede conectarse al puerto 25 de un server del exterior.
Y esto no tiene sentido, no para una pc normal. El único equipo autorizado a conectarse al puerto 25/tcp (smtp) de un servidor remoto debe ser el (o los) servidores de correo de tu empresa.
Por tanto, la solución es simple, muy simple: Impide (bloquea) que los equipos de tu red LAN puedan salir al puerto 25/tcp a través de una simple regla del firewall. La regla la puedes sacar de http://ecualinux.com/rc.firewall (busca la palabra smtp)... simplemente no permite que ningún paquete con destino al puerto 25/tcp atraviese en forward tu firewall.
Ahhhh, algunos dirán: "es que mi servidor de correos está afuera!!, si bloqueo el puerto 25/tcp no podré enviar correos!!" esto tiene parte de verdad pero es solucionable:
1- el puerto para que los clientes de correo (MUA) puedan enviar correos al servidor es el 587, no es el 25.. cambia el 25 por el 587 en la configuración y listo. Por el puerto 587 se pueden enviar mails por parte de usuarios autenticados, así qeu los envíos de spam no saldrán por ahi.
2- si no puedes usar el 587 por alguna razón.. entonces puedes antes de prohibir el 25 a todo el mundo, permitir el 25 a la IP de tu servidor de correo que está en el exterior.. así solamente se podrá enviar al 25 de tu servidor pero no a ningún otro (el ejemplo está en el mismo rc.firewall)
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Monitoreo
Si quieres conocer sobre el caso para poder conocer exactamente quien es y aplicar medidas correctivas por ejemplo un antivirus o aislar el equipo, formateo o lo que sea (casi siempre son maquinas windows), lo primero es monitorear el tráfico para que sepas de donde viene el problema, por lo general es un troyano que envia ataques DDoS al puerto 25 de yahoo y hotmail, lo puedes hacer con tcpdump o tcptrack
tcpdump -vvv -i eth1 port 25
tcptrack -i eth1 "port 25"
Donde eth1 es tu interfaz LAN
Luego aplicas lo que Epe te recomienda bloquear con iptables el puerto 25 (input/output) en tu red o si no lo quieres/puedes hacer solo al host o los hosts que estén involucrados.
Saludos panas