Forums:
Estimados buenas tardes.
Por favor necesito ayuda para saber que, quien o como estan utilizando mi servidor de correo para enviar spam a travès de mi MTA que es sendmail.
Utilizo los siguiente paquetes en centos 5.4 :
Sendmail 8.13.8/8.13.8
MailScanner-4.78.17-1
clamav0.96-1
squirrelmail-1.4.20-RC2
SpamAssassin version 3.2.5
La configuracion del archivo /etc/mail/access es la siguinete:
Connect:localhost.localdomain RELAY
Connect:localhost RELAY
Connect:127.0.0.1 RELAY
ClientRate:127.0.0 2
ClientRate: 10
ClientRate:192.168.0 30 ##Red Interna
Antes de realizar la configuracion ClientRate entraba en lista negra la ip asignada al server de correo. porque eran mensajes masivos enviados desde la ip 127.0.0.1, por ese motivo le configuere 2 conexiones por minuto.
Detallo el log de 2 correos donde midominio.com.ec es el dominio publico asignado al servidor de correo. Creo que son ataques DOS lo que le esta pasando a mi server.
--------------------------------
Apr 21 19:54:54 mail sendmail[3006]: o3M0sr8e003006: from=, size=3705, class=0, nrcpts=2, msgid=<4869da5501285d53c05c3a7cdedf9d8b.squirrel@midomnio.com.ec>, proto=ESMTP, daemon=MTA, relay=localhost.localdomain [127.0.0.1]
Apr 21 19:54:54 mail sendmail[3006]: o3M0sr8e003006: to=, delay=00:00:00, mailer=esmtp, pri=63705, stat=queued
Apr 21 19:54:54 mail sendmail[3006]: o3M0sr8e003006: to=, delay=00:00:00, mailer=esmtp, pri=63705, stat=queued
Apr 21 19:54:58 mail sendmail[3018]: o3M0sr8e003006: to=, delay=00:00:04, xdelay=00:00:02, mailer=esmtp, pri=153705, relay=mx3.hotmail.com. [65.54.188.110], dsn=2.0.0, stat=Sent ( <4869da5501285d53c05c3a7cdedf9d8b.squirrel@midominio.com.ec> Queued mail for delivery)
Apr 21 19:55:02 mail sendmail[3018]: o3M0sr8e003006: to=, delay=00:00:08, xdelay=00:00:04, mailer=esmtp, pri=153705, relay=mx1.mail.hk2.yahoo.com. [124.108.110.21], dsn=2.0.0, stat=Sent (ok dirdel)
------------------------------------------
Apr 21 20:02:02 mail sendmail[3121]: o3M122ed003121: from=, size=3704, class=0, nrcpts=2, msgid=, proto=ESMTP, daemon=MTA, relay=localhost.localdomain [127.0.0.1]
Apr 21 20:02:02 mail sendmail[3121]: o3M122ed003121: to=, delay=00:00:00, mailer=esmtp, pri=63704, stat=queued
Apr 21 20:02:02 mail sendmail[3121]: o3M122ed003121: to=, delay=00:00:00, mailer=esmtp, pri=63704, stat=queued
Apr 21 20:02:08 mail sendmail[3138]: o3M122ed003121: to=, delay=00:00:06, xdelay=00:00:01, mailer=esmtp, pri=153704, relay=mx1.hotmail.com. [65.54.188.94], dsn=2.0.0, stat=Sent ( Queued mail for delivery)
Apr 21 20:02:10 mail sendmail[3138]: o3M122ed003121: to=, delay=00:00:08, xdelay=00:00:02, mailer=esmtp, pri=153704, relay=d.mx.mail.yahoo.com. [209.191.88.254], dsn=2.0.0, stat=Sent (ok dirdel)
--------------
Por favor sus comentarios para solucionar este problema.Gracias
Apr 21 19:54:58 mail
Apr 21 19:54:58 mail sendmail[3018]: o3M0sr8e003006: to=, delay=00:00:04, xdelay=00:00:02, mailer=esmtp, pri=153705, relay=mx3.hotmail.com. [65.54.188.110], dsn=2.0.0, stat=Sent ( <4869da5501285d53c05c3a7cdedf9d8b.squirrel@midominio.com.ec> Queued mail for delivery)
el spam viene desde el squirrelmail. Usuario con clave débil es lo más seguro, cambia claves de todos los usuarios por claves bien puestas.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Gracias Epe. Pero no hay otra
Gracias Epe.
Pero no hay otra soluciòn alterna al cambio de claves?
tuve un problema similar en
tuve un problema similar en mi servidor (1500 usuarios) con squirrelmail.
Me cansaba de cambiar las contraseñas inseguras de los usuarios cosas como 12345 asdf etc
La solución fue comprar un certificado ssl y solo ejecutar el webmail desde la pagina segura.
o sea tu webmail pasaría a ser https://midomino.com.ec (o como entres actualmente a tu webmail)
en la pagina http://midominio.com.ec simplemente puedes poner una pagina que redirecion hacia el https
un certificado básico vale aproximadamente $30/año
http://www.godaddy.com/ssl/ssl-certificates.aspx
salu2
no debes permitir claves
no debes permitir claves inseguras. En lo absoluto.
además, no es un probelma que te pasará solamente por squirrelmail, si soportas autenticación, te descubrirán la clave via pop3 y entrarán autenticando y enviarán spam.
cambia las claves. Al menos nosotros revisamos cada cierto tiempo nuestros usuarios, detectamos claves débiles con john the ripper, y cambiamos las claves de los que tienen claves débiles.
Pueden haber otras vías, pero mientras tus claves sean débiles, el atacante se las ingeniará para entrar.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre