Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Redes y Servidores Nuevo tema
 open relay Zimbra
Primero | Anterior | 1 2| Siguiente | Último
Tema anterior Tema siguiente
   
Edgar Rene Chirivi Rico
Publicado en 24/07/11 01:34 (Leído 24118 veces)  Tema cerrado

Participa mucho

Estado: desconectado
Forum User

Inscrito: 07/03/07
Publicaciones: 49
Buenas noches

alguien sabe como desactivar open rely en zimbra

me estan atacando mi servidor enviando correos a direcciones yahoo.com.tw
 
Perfil
Joel Barrios Dueñas
Publicado en 24/07/11 03:51  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
De modo predeterminado, Zimbra, al igual que cualquier otro producto similar, así como servidores de correo electrónico en general, jamás viene configurado como Open Relay. Vaya, ek método predeterminado es envío contra autenticación. Yo me inclino apensar que más bien te han robado una cuenta de algún usuario con una clave de acceso demasiado fácil o bien te están haciendo mail spoofing.
 
Perfil Sitio Web
Edgar Rene Chirivi Rico
Publicado en 24/07/11 04:35  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 07/03/07
Publicaciones: 49
Hola Joel gracias pro tu respuesta

al dar el comando postquee -p
veo la gran cantidad de spam (mas de 1000 en 10 minutos

9E45JUNIN SUN JUL 24 11:14:24 double-bounce@mail.midominio.com
cl.lsc@msa.hinet.com

y la cuenta double-bouce no existe en mi dominio

graccias
 
Perfil
manowar
Publicado en 25/07/11 09:53  

Miembro Activo

Estado: desconectado
Forum User

Inscrito: 26/02/07
Publicaciones: 280
País:Santiago - Chile
manda el log completo de uno o 2 correos haber que se puede ver y en el admin verifica que solo localhost pueda enviar correos, parte por bloquear la LAN y que todos accesen via webmail, es posible que algun PC o mas esten infectado y hagan ese trabajo y por estar permitida tu LAN para enviar correo no se bloqueara.
 
Perfil Sitio Web
Edgar Rene Chirivi Rico
Publicado en 26/07/11 12:21  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 07/03/07
Publicaciones: 49
Hola Ingrese a esta pagina http://www.mxtoolbox.com/diagnostic.aspx
y me dio el siguiente resultado


220 mail.midominio.com ESMTP Postfix

OK - 64.64.64.64 resolves to mail.santorini.com.co
OK - Reverse DNS matches SMTP Banner
0 seconds - Good on Connection time
May be an open relay. (si es open relay???)
0.796 seconds - Good on Transaction time



y al quitarle la direcion ip y dejarle solo la 127.0.0.1 sale el siguiete mensaje en zimbra

Valor no valido

mensaje de error! el valor de las redes MTDA Trusted Networks debe incluir interfases locales 192.168.15.2.

Tambien anexo parte del log


7F80DCD583DA 884 Mon Jul 25 19:17:36 aaronhans@cm1.hinet.net
(connect to msa-smtp-mx2.hinet.net[168.95.6.61]:25: Connection timed out)
zzz.bin@msa.hinet.net
zzz.bingo@msa.hinet.net
zzz.bird@msa.hinet.net
zzz.black@msa.hinet.net
zzz.blue@msa.hinet.net
zzz.bmw@msa.hinet.net
zzz.bn@msa.hinet.net
zzz.body@msa.hinet.net
zzz.brown@msa.hinet.net
zzz.bryant@msa.hinet.net
zzz.bt@msa.hinet.net
zzz.bu@msa.hinet.net
zzz.bubu@msa.hinet.net
zzz.bule@msa.hinet.net
zzz.bus@msa.hinet.net
zzz.c2@msa.hinet.net
zzz.calvin@msa.hinet.net
zzz.carey@msa.hinet.net
zzz.carlos@msa.hinet.net
zzz.carolyn@msa.hinet.net


 
Perfil
Edgar Rene Chirivi Rico
Publicado en 26/07/11 12:23  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 07/03/07
Publicaciones: 49
Hola Ingrese a esta pagina http://www.mxtoolbox.com/diagnostic.aspx
y me dio el siguiente resultado


220 mail.midominio.com ESMTP Postfix

OK - 64.64.64.64 resolves to mail.midominio.com
OK - Reverse DNS matches SMTP Banner
0 seconds - Good on Connection time
May be an open relay. (si es open relay???)
0.796 seconds - Good on Transaction time



y al quitarle la direcion ip y dejarle solo la 127.0.0.1 sale el siguiete mensaje en zimbra

Valor no valido

mensaje de error! el valor de las redes MTDA Trusted Networks debe incluir interfases locales 192.168.15.2.

Tambien anexo parte del log


7F80DCD583DA 884 Mon Jul 25 19:17:36 aaronhans@cm1.hinet.net
(connect to msa-smtp-mx2.hinet.net[168.95.6.61]:25: Connection timed out)
zzz.bin@msa.hinet.net
zzz.bingo@msa.hinet.net
zzz.bird@msa.hinet.net
zzz.black@msa.hinet.net
zzz.blue@msa.hinet.net
zzz.bmw@msa.hinet.net
zzz.bn@msa.hinet.net
zzz.body@msa.hinet.net
zzz.brown@msa.hinet.net
zzz.bryant@msa.hinet.net
zzz.bt@msa.hinet.net
zzz.bu@msa.hinet.net
zzz.bubu@msa.hinet.net
zzz.bule@msa.hinet.net
zzz.bus@msa.hinet.net
zzz.c2@msa.hinet.net
zzz.calvin@msa.hinet.net
zzz.carey@msa.hinet.net
zzz.carlos@msa.hinet.net
zzz.carolyn@msa.hinet.net


 
Perfil
Joel Barrios Dueñas
Publicado en 26/07/11 01:54  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
Pinta a que te están haciendo Mail Spoofing (ver el enlace que te puse en mi mensaje anterior para que comprendas en qué consiste), es decir, aprovechando uno delos puntos flacos de el protocolo SMTP. Instala perl-Mail-SPF, pyzor y perl-Razor-Agent y reinicia los servicios de Zimbra para que el Spamassassin, que viene integrado con éste, active el plugin para SPF, Razor y Pyzor.

Las conexiones vienen de Japón (168.95.6.61), así que pon en lista negra ese bloque de IPs:

168.0.0.0/16

Quote by: Edgar+Rene+Chirivi+Rico

Hola Joel gracias pro tu respuesta

al dar el comando postquee -p
veo la gran cantidad de spam (mas de 1000 en 10 minutos

9E45JUNIN SUN JUL 24 11:14:24 double-bounce@mail.midominio.com
cl.lsc@msa.hinet.com

y la cuenta double-bouce no existe en mi dominio

graccias

 
Perfil Sitio Web
Edgar Rene Chirivi Rico
Publicado en 26/07/11 02:17  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 07/03/07
Publicaciones: 49
Hola Joel

Tu sabes como instalar estos plugins?
Perdona mi ingnorancia
 
Perfil
Edgar Rene Chirivi Rico
Publicado en 26/07/11 02:47  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 07/03/07
Publicaciones: 49
Ya los pude Instalar

Solo es intalarlos y reinicar el zimbra con zmcontrol??
 
Perfil
Joel Barrios Dueñas
Publicado en 26/07/11 02:49  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
Los plugins ya están instalados, pero requiere que instales esos paquetes para que se activen. Los encuentras en los almacenes YUM de AL Server para CentOS5/centOS6 y RHEL5/RHEL6 de Alcance Libre o en los de EPEL.

Si utilizas CentOS o Red Hat Enterprise Linux, descarga http://www.alcancelibre.org/al/server/AL-Server.repo y colocalo dentro de /etc/yum.repos.d/. Luego:

PHP Formatted Code
yum -y install perl-Mail-SPF pyzor perl-Razor-Agent


Al terminar, reinicia los servicios de Zimbra.

Quote by: Edgar+Rene+Chirivi+Rico

Hola Joel

Tu sabes como instalar estos plugins?
Perdona mi ingnorancia

 
Perfil Sitio Web
Edgar Rene Chirivi Rico
Publicado en 26/07/11 03:36  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 07/03/07
Publicaciones: 49
Hola joel muchas graica sporla info

ya ejecute todo y bajo en un 70% aprox el envio del spam ya por lo menos en 4 minutos no me aparecen 900 correos si no 14,

Cualquier cosa te estarpe comentando y de nuevo muchas gracias
esperemos que esto siga así o mejore
 
Perfil
Edgar Rene Chirivi Rico
Publicado en 26/07/11 12:28  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 07/03/07
Publicaciones: 49
Hola

Hoy me encontre en la mañana con que habian en cola 43136 mensajes

ya no se que mas hacer para que deje de enviar tanto spam
 
Perfil
Joel Barrios Dueñas
Publicado en 26/07/11 02:53  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
Detén los servicios, borra todos los mensajes que tienes en la cola de salida, cambia claves de acceso de tus usuarios que consideres los más propensos a caer en engaños.

Bloquea todo el bloque asiático desde tu muro cortafuegos. Estos son los bloques.

1.0.0.0/8 14.0.0.0/8 27.0.0.0/8 36.0.0.0/8 39.0.0.0/8 42.0.0.0/8 49.0.0.0/8 58.0.0.0/8 59.0.0.0/8 60.0.0.0/8 61.0.0.0/8
101.0.0.0/8 103.0.0.0/8 106.0.0.0/8 110.0.0.0/8 111.0.0.0/8 112.0.0.0/8 113.0.0.0/8 114.0.0.0/8 115.0.0.0/8 116.0.0.0/8 117.0.0.0/8 118.0.0.0/8
119.0.0.0/8 120.0.0.0/8 121.0.0.0/8 122.0.0.0/8 123.0.0.0/8 124.0.0.0/8 125.0.0.0/8 126.0.0.0/8 169.208.0.0/12 175.0.0.0/8
180.0.0.0/8 182.0.0.0/8 183.0.0.0/8 202.0.0.0/8 203.0.0.0/8 210.0.0.0/8 211.0.0.0/8
218.0.0.0/8 219.0.0.0/8 220.0.0.0/8 221.0.0.0/8 222.0.0.0/8 223.0.0.0/8
163.0.0.0/16 163.125.0.0/16 163.142.0.0/16 163.177.0.0/16 163.179.0.0/16 163.204.0.0/16

¿Está actualizado el Zimbra que tienes en ese servidor???


 
Perfil Sitio Web
Joel Barrios Dueñas
Publicado en 26/07/11 02:54  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
Publica el contenido de main.cf del Postfix de Zimbra. Lo encuentras dentro de algunos de los subdirectorios de Zimbra en de /opt.
 
Perfil Sitio Web
Edgar Rene Chirivi Rico
Publicado en 26/07/11 03:27  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 07/03/07
Publicaciones: 49
hola joel

este el el main .cf

mail_owner = postfix
bounce_notice_recipient = postmaster
content_filter = smtp-amavis:[127.0.0.1]:10024
relayhost =
smtpd_sasl_authenticated_header = no
broken_sasl_auth_clients = yes
minimal_backoff_time = 300s
sender_canonical_maps = proxy:ldap:/opt/zimbra/conf/ldap-scm.cf
always_add_missing_headers = yes
smtpd_tls_key_file = /opt/zimbra/conf/smtpd.key
smtpd_helo_required = yes
virtual_transport = error
sendmail_path = /opt/zimbra/postfix/sbin/sendmail
smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unverified_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unlisted_recipient, reject_invalid_hostname, reject_non_fqdn_sender, permit
smtpd_reject_unlisted_recipient = no
bounce_queue_lifetime = 5d
local_header_rewrite_clients = permit_mynetworks,permit_sasl_authenticated
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_tls_security_level = may
smtpd_milters = inet:127.0.0.1:7026
smtpd_sender_restrictions =
lmtp_host_lookup = dns
delay_warning_time = 0h
virtual_mailbox_maps = proxy:ldap:/opt/zimbra/conf/ldap-vmm.cf
queue_run_delay = 300s
header_checks =
notify_classes = resource,software
command_directory = /opt/zimbra/postfix/sbin
smtpd_client_restrictions = reject_unauth_pipelining
smtpd_tls_auth_only = yes
virtual_alias_maps = proxy:ldap:/opt/zimbra/conf/ldap-vam.cf
mailq_path = /opt/zimbra/postfix/sbin/mailq
mynetworks = 127.0.0.0/8 192.168.15.0/29
lmtp_connection_cache_time_limit = 4s
transport_maps = proxy:ldap:/opt/zimbra/conf/ldap-transport.cf
virtual_alias_domains = proxy:ldap:/opt/zimbra/conf/ldap-vad.cf
smtpd_sasl_auth_enable = yes
smtpd_tls_loglevel = 1
maximal_backoff_time = 4000s
virtual_mailbox_domains = proxy:ldap:/opt/zimbra/conf/ldap-vmd.cf
daemon_directory = /opt/zimbra/postfix/libexec
non_smtpd_milters =
setgid_group = postdrop
alias_maps = hash:/etc/aliases
mydestination = localhost
myhostname = mail.santorini.com.co
message_size_limit = 10240000
recipient_delimiter =
in_flow_delay = 1s
queue_directory = /opt/zimbra/data/postfix/spool
propagate_unmatched_extensions = canonical
manpage_directory = /opt/zimbra/postfix/man
smtpd_tls_cert_file = /opt/zimbra/conf/smtpd.crt
lmtp_connection_cache_destinations =
newaliases_path = /opt/zimbra/postfix/sbin/newaliases
policy_time_limit = 3600
mailbox_size_limit = 0
disable_dns_lookups = no
smtpd_restrictions_clases =
smtpd_recipient_limit = 20


y este es el postfix_restrictions que esta en /opt/zimbra/conf

%%contains VAR:zimbraServiceEnabled cbpolicyd, check_policy_service inet:127.0.0.1:10031%%
reject_non_fqdn_recipient
reject_unknown_recipient_domain
reject_unverified_recipient
permit_sasl_authenticated
permit_mynetworks
reject_unauth_destination
reject_unlisted_recipient
%%contains VAR:zimbraMtaRestriction reject_invalid_hostname%%
%%contains VAR:zimbraMtaRestriction reject_non_fqdn_hostname%%
%%contains VAR:zimbraMtaRestriction reject_non_fqdn_sender%%
%%contains VAR:zimbraMtaRestriction reject_unknown_client%%
%%contains VAR:zimbraMtaRestriction reject_unknown_hostname%%
%%contains VAR:zimbraMtaRestriction reject_unknown_sender_domain%%
%%explode reject_rbl_client VAR:zimbraMtaRestrictionRBLs%%
%%contains VAR:zimbraMtaRestriction check_policy_service unix:private/policy%%
permit


al ponerle las reglas reject_unknown_recipient_domain reject_unverified_recipient baja la cantida de spam pero al tratar de enviar cualquer correo desde el webmail de zimbra aparece el siguiente mensaje

Mensaje no enviado; una o más direcciones no han sido aceptadas
direcicones rechazadas (ejemplo) rene_chirivi@yahoo.com



la verion de zimbra es la 7.1.1.GA5169.RHEL5_64 y esta montado sobre un centos 5.6 de 64
 
Perfil
Primero | Anterior | 1 2| Siguiente | Último
Contenido generado en: 0,28 segundos Nuevo tema
 Todas las horas son UTC. Hora actual 04:54 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado