Ataque..envian spam a travès de mi MTA

Enviado por yudan en

Forums: 

Estimados buenas tardes.

Por favor necesito ayuda para saber que, quien o como estan utilizando mi servidor de correo para enviar spam a travès de mi MTA que es sendmail.

Utilizo los siguiente paquetes en centos 5.4 :

Sendmail 8.13.8/8.13.8
MailScanner-4.78.17-1
clamav0.96-1
squirrelmail-1.4.20-RC2
SpamAssassin version 3.2.5

La configuracion del archivo /etc/mail/access es la siguinete:

Connect:localhost.localdomain RELAY
Connect:localhost RELAY
Connect:127.0.0.1 RELAY

ClientRate:127.0.0 2
ClientRate: 10
ClientRate:192.168.0 30 ##Red Interna

Antes de realizar la configuracion ClientRate entraba en lista negra la ip asignada al server de correo. porque eran mensajes masivos enviados desde la ip 127.0.0.1, por ese motivo le configuere 2 conexiones por minuto.

Detallo el log de 2 correos donde midominio.com.ec es el dominio publico asignado al servidor de correo. Creo que son ataques DOS lo que le esta pasando a mi server.

--------------------------------
Apr 21 19:54:54 mail sendmail[3006]: o3M0sr8e003006: from=, size=3705, class=0, nrcpts=2, msgid=<4869da5501285d53c05c3a7cdedf9d8b.squirrel@midomnio.com.ec>, proto=ESMTP, daemon=MTA, relay=localhost.localdomain [127.0.0.1]
Apr 21 19:54:54 mail sendmail[3006]: o3M0sr8e003006: to=, delay=00:00:00, mailer=esmtp, pri=63705, stat=queued
Apr 21 19:54:54 mail sendmail[3006]: o3M0sr8e003006: to=, delay=00:00:00, mailer=esmtp, pri=63705, stat=queued
Apr 21 19:54:58 mail sendmail[3018]: o3M0sr8e003006: to=, delay=00:00:04, xdelay=00:00:02, mailer=esmtp, pri=153705, relay=mx3.hotmail.com. [65.54.188.110], dsn=2.0.0, stat=Sent ( <4869da5501285d53c05c3a7cdedf9d8b.squirrel@midominio.com.ec> Queued mail for delivery)
Apr 21 19:55:02 mail sendmail[3018]: o3M0sr8e003006: to=, delay=00:00:08, xdelay=00:00:04, mailer=esmtp, pri=153705, relay=mx1.mail.hk2.yahoo.com. [124.108.110.21], dsn=2.0.0, stat=Sent (ok dirdel)

------------------------------------------

Apr 21 20:02:02 mail sendmail[3121]: o3M122ed003121: from=, size=3704, class=0, nrcpts=2, msgid=, proto=ESMTP, daemon=MTA, relay=localhost.localdomain [127.0.0.1]
Apr 21 20:02:02 mail sendmail[3121]: o3M122ed003121: to=, delay=00:00:00, mailer=esmtp, pri=63704, stat=queued
Apr 21 20:02:02 mail sendmail[3121]: o3M122ed003121: to=, delay=00:00:00, mailer=esmtp, pri=63704, stat=queued
Apr 21 20:02:08 mail sendmail[3138]: o3M122ed003121: to=, delay=00:00:06, xdelay=00:00:01, mailer=esmtp, pri=153704, relay=mx1.hotmail.com. [65.54.188.94], dsn=2.0.0, stat=Sent ( Queued mail for delivery)
Apr 21 20:02:10 mail sendmail[3138]: o3M122ed003121: to=, delay=00:00:08, xdelay=00:00:02, mailer=esmtp, pri=153704, relay=d.mx.mail.yahoo.com. [209.191.88.254], dsn=2.0.0, stat=Sent (ok dirdel)

--------------

Por favor sus comentarios para solucionar este problema.Gracias

Apr 21 19:54:58 mail

Enviado por Epe en

Imagen de Epe


Apr 21 19:54:58 mail sendmail[3018]: o3M0sr8e003006: to=, delay=00:00:04, xdelay=00:00:02, mailer=esmtp, pri=153705, relay=mx3.hotmail.com. [65.54.188.110], dsn=2.0.0, stat=Sent ( <4869da5501285d53c05c3a7cdedf9d8b.squirrel@midominio.com.ec> Queued mail for delivery)

el spam viene desde el squirrelmail. Usuario con clave débil es lo más seguro, cambia claves de todos los usuarios por claves bien puestas.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

tuve un problema similar en

Enviado por Ascii en

Imagen de Ascii

tuve un problema similar en mi servidor (1500 usuarios) con squirrelmail.
Me cansaba de cambiar las contraseñas inseguras de los usuarios cosas como 12345 asdf etc
La solución fue comprar un certificado ssl y solo ejecutar el webmail desde la pagina segura.

o sea tu webmail pasaría a ser https://midomino.com.ec (o como entres actualmente a tu webmail)
en la pagina http://midominio.com.ec simplemente puedes poner una pagina que redirecion hacia el https

un certificado básico vale aproximadamente $30/año
http://www.godaddy.com/ssl/ssl-certificates.aspx

salu2

no debes permitir claves

Enviado por Epe en

Imagen de Epe

no debes permitir claves inseguras. En lo absoluto.

además, no es un probelma que te pasará solamente por squirrelmail, si soportas autenticación, te descubrirán la clave via pop3 y entrarán autenticando y enviarán spam.

cambia las claves. Al menos nosotros revisamos cada cierto tiempo nuestros usuarios, detectamos claves débiles con john the ripper, y cambiamos las claves de los que tienen claves débiles.

Pueden haber otras vías, pero mientras tus claves sean débiles, el atacante se las ingeniará para entrar.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre