Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
 Problema con Spam, AYUDA !!!!
Primero | Anterior | 1 2| Siguiente | Último
Tema anterior Tema siguiente
   
Christian
Publicado en 09/01/13 09:51 (Leído 8433 veces)  

Participa poco


Estado: desconectado
Forum User

Inscrito: 08/09/10
Publicaciones: 19
Hola, buenas tardes a todos, tengo un problema con el Spam y estoy realmente desesperado y no se que hacer, por eso recurro a ustedes que tienen grandes conocimientos. Tengo un servidor con CentOS 5.5 y Sendmail, donde tengo varios dominios, desde ayer que alguien está haciendo Spam usando mi nombre de dominio, y me llegan cientos de mails de error y rechazos de mails que no se enviaron de mi servidor, ya hice los test de Open Relay, y dieron negativo, el mayor problema es que ya estoy apareciendo en las listas negras, realmente esto me esta causando muchos problemas, alguien sabe que puedo hacer para frenar esto?. Desde ya muchas gracias.
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 10/01/13 12:21  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
 
Perfil Sitio Web
 Citar
Christian
Publicado en 10/01/13 02:09  

Participa poco


Estado: desconectado
Forum User

Inscrito: 08/09/10
Publicaciones: 19
Hola Joel, gracias por tu respuesta. Yo creo que los mails salen de otro servidor que no es el mio, pero usan mi dominio para hacer spam. Si hago lo que me decis no van a poder usar mas mi dominio para hacer spam? Muchas gracias
 
Perfil
 Citar
Christian
Publicado en 10/01/13 02:46  

Participa poco

Estado: desconectado
Forum User

Inscrito: 08/09/10
Publicaciones: 19
Hola Joel, por otro lado te pregunto lo siguiente, me aparecio en los reportes del Logwatch lo siguiente: Connection attempts using mod_proxy: 209.173.6.208 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s) 216.56.160.238 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s) 63.133.240.1 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s) 67.221.128.18 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s) A total of 1 sites probed the server 180.167.15.58 A total of 1 possible successful probes were detected (the following URLs contain strings that match one or more of a listing of strings that indicate a possible exploit): null HTTP Response 302 Requests with error response codes 400 Bad Request http://lti-mail01.ltinetworks.com:25: 4 Time(s) http://lti-mail01.ltinetworks.com:25/: 1 Time(s) 403 Forbidden /: 1 Time(s) 404 Not Found No se que significa todo esto, puede ser que esto este provocando el problema que tengo?, me siguen llegando cientos de correos con: The original message was received at Tue, 8 Jan 2013 23:53:56 -0300 from localhost with id r092rubK011183 Esto me esta llenando la casilla de mails, y me esta poniendo en lista negra. Estoy desesperado !!! Desde ya muchas gracias por tus respuestas.
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 10/01/13 08:16  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
Tu problema se llama mail spoofing y sólo se resuelve si implementas DKIM y SPF.

Aplica el método descrito en el primer documento que te cité y en tu zona de DNS agreda este registro:

BASH Formatted Code
@          IN        TXT       "v=spfv1 a mx -all"
 
Perfil Sitio Web
 Citar
Christian
Publicado en 11/01/13 04:33  

Participa poco

Estado: desconectado
Forum User

Inscrito: 08/09/10
Publicaciones: 19
Hola Joel, gracias por tu gentil respuesta, voy a hacer lo que me decis y te cuento como me fue. Por otro lado en el reporte del Logwatch me aparece lo siguiente: Connection attempts using mod_proxy: 209.173.6.208 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s) 216.56.160.238 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s) 63.133.240.1 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s) 67.221.128.18 -> http://lti-mail01.ltinetworks.com:25: 1 Time(s) A total of 1 sites probed the server 180.167.15.58 A total of 1 possible successful probes were detected (the following URLs contain strings that match one or more of a listing of strings that indicate a possible exploit): null HTTP Response 302 Requests with error response codes 400 Bad Request http://lti-mail01.ltinetworks.com:25: 4 Time(s) http://lti-mail01.ltinetworks.com:25/: 1 Time(s) 403 Forbidden /: 1 Time(s) 404 Not Found Que significa esto?, es para preocuparme ? Muchas gracias por tus respuestas.
 
Perfil
 Citar
Christian
Publicado en 14/01/13 11:46  

Participa poco

Estado: desconectado
Forum User

Inscrito: 08/09/10
Publicaciones: 19
Hola Joel, como estas? Joel, hice todo lo que dijiste, me siguen llegando cientos de mails rechazados, pero observe que el la cola de mail (mailq) de Sendmail, tengo 60150 correos, lo cual es muchisimo para el flujo de mails que manejo, puede ser que esten saliendo desde mi propio server los mails de spam?, que me hayan puesto algun proceso que los envie?, como puedo identificar esto? Desde ya muchas gracias. Saludos.
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 15/01/13 02:25  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
BASH Formatted Code
service sendmail stop
rm -fr /var/spool/mqueue/*
service sendmail start


Habría que revisar a detalle bitácoras del sistema para determinar de dónde están saliendo los mensajes. Sugiero verifiques configuración. Pudiera ser que estés como open-relay. ¿Qué método utilizas para autorizar el envío de correo? Si estás autorizando envío de correo a través de /etc/mail/access es probable que ahí esté tu problema.

Por favor, publica en este espacio los contenidos de /etc/mail/local-host-names, /etc/mail/relay-domains, /etc/mail/sendmail.mc y /etc/mail/access.

¿Está actualizado el sistema con los más recientes parches de seguridad? Sí es así, deberías tener el sistema actualizado hasta CentOS 5.8.

BASH Formatted Code
yum -y update && reboot
 
Perfil Sitio Web
 Citar
Christian
Publicado en 16/01/13 09:29  

Participa poco

Estado: desconectado
Forum User

Inscrito: 08/09/10
Publicaciones: 19
Hola Joel, gracias por tu respuesta, efectivamente estoy autorizando el envio por /etc/mail/access, no corro ningun riesgo si te publico aca como me decis el contenido de los archivos, ya que estan los nombres de dominios, etc?

Muchas gracias
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 17/01/13 03:49  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
Quote by: Christian

Hola Joel, gracias por tu respuesta, efectivamente estoy autorizando el envio por /etc/mail/access, no corro ningun riesgo si te publico aca como me decis el contenido de los archivos, ya que estan los nombres de dominios, etc?

Muchas gracias




No, sin problemas. Obviamente ofusca las direcciones IP, dominios e información relevante. Obviamente omite todo lo que creas delicado.

Si estás autorizando desde /etc/mail/access en lugar del servicio saslauthd+SSL/TLS, casi seguro te agarraron de open-relay o bien hay un equipo infectado en tu LAN.
 
Perfil Sitio Web
 Citar
Christian
Publicado en 17/01/13 02:03  

Participa poco

Estado: desconectado
Forum User

Inscrito: 08/09/10
Publicaciones: 19
Hola Joel, muchas gracias por tus respuestas y por la ayuda que me estas dando. Te copio el contenido de los archivos: En: /etc/mail/local-host-names tengo:
PHP Formatted Code
dominio1.com.ar
dominio2.com.ar
dominio3.com.ar
dominio4.com.ar
------------------------------------------------------ En: /etc/mail/relay-domains tengo:
PHP Formatted Code
dominio1.com.ar
dominio2.com.ar
dominio3.com.ar
dominio4.com.ar
 
------------------------------------------------------ En /etc/mail/access tengo:
PHP Formatted Code
# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
localhost.localdomain           RELAY
localhost                       RELAY
127.0.0.1                       RELAY
XXX.XXX.XXX.XXX                 RELAY
dominio1.com.ar                 RELAY
dominio2.com.ar                 RELAY
dominio3.com.ar                 RELAY
dominio4.com.ar                 RELAY
XXX.XXX.XXX.XXX                 RELAY
XXX.XXX.XXX.XXX                 RELAY
XXX.XXX.XXX.XXX                 RELAY
XXX.XXX.XXX.XXX                 REJECT
XXX.XXX.XXX.XXX                 REJECT
XXX.XXX.XXX.XXX                 REJECT
XXX.XXX.XXX.XXX                 REJECT
lti-mail01.ltinetworks.com      REJECT
------------------------------------------------------ En: /etc/mail/sendmail.mc tengo:
PHP Formatted Code
divert(-1)dnl
dnl #
dnl # This is the sendmail macro config file for m4. If you make changes to
dnl # /etc/mail/sendmail.mc, you will need to regenerate the
dnl # /etc/mail/sendmail.cf file by confirming that the sendmail-cf package is
dnl # installed and then performing a
dnl #
dnl #     make -C /etc/mail
dnl #
include(`/usr/share/sendmail-cf/m4/cf.m4')dnl
VERSIONID(`setup for linux'
)dnl
OSTYPE(`linux')dnl
dnl #
dnl # Do not advertize sendmail version.
dnl #
dnl define(`confSMTP_LOGIN_MSG'
, `$j Sendmail; $b')dnl
dnl #
dnl # default logging level is 9, you might want to set it higher to
dnl # debug the configuration
dnl #
dnl define(`confLOG_LEVEL'
, `9')dnl
dnl #
dnl # Uncomment and edit the following line if your outgoing mail needs to
dnl # be sent out through an external mail server:
dnl #
dnl define(`SMART_HOST'
, `smtp.your.provider')dnl
dnl #
define(`confDEF_USER_ID'
, ``8:12'')dnl
dnl define(`confAUTO_REBUILD')dnl
define(`confTO_CONNECT'
, `1m')dnl
define(`confTRY_NULL_MX_LIST'
, `True')dnl
define(`confDONT_PROBE_INTERFACES'
, `True')dnl
define(`PROCMAIL_MAILER_PATH'
, `/usr/bin/procmail')dnl
define(`ALIAS_FILE'
, `/etc/aliases')dnl
define(`STATUS_FILE'
, `/var/log/mail/statistics')dnl
define(`UUCP_MAILER_MAX'
, `2000000')dnl
define(`confUSERDB_SPEC'
, `/etc/mail/userdb.db')dnl
define(`confPRIVACY_FLAGS'
, `authwarnings,novrfy,noexpn,restrictqrun')dnl
define(`confAUTH_OPTIONS'
, `A')dnl
dnl #
dnl # The following allows relaying if the user authenticates, and disallows
dnl # plaintext authentication (PLAIN/LOGIN) on non-TLS links
dnl #
dnl define(`confAUTH_OPTIONS'
, `A p')dnl
dnl #
dnl # PLAIN is the preferred plaintext authentication method and used by
dnl # Mozilla Mail and Evolution, though Outlook Express and other MUAs do
dnl # use LOGIN. Other mechanisms should be used if the connection is not
dnl # guaranteed secure.
dnl # Please remember that saslauthd needs to be running for AUTH.
dnl #
TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN'
)dnl
define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
dnl #
dnl # Rudimentary information on creating certificates for sendmail TLS:
dnl #     cd /etc/pki/tls/certs; make sendmail.pem
dnl # Complete usage:
dnl #     make -C /etc/pki/tls/certs usage
dnl #
dnl define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl
dnl define(`confCACERT', `/etc/pki/tls/certs/ca-bundle.crt')dnl
dnl define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl
dnl define(`confSERVER_KEY', `/etc/pki/tls/certs/sendmail.pem')dnl
dnl #
dnl # This allows sendmail to use a keyfile that is shared with OpenLDAP's
dnl # slapd, which requires the file to be readble by group ldap
dnl #
dnl define(`confDONT_BLAME_SENDMAIL', `groupreadablekeyfile')dnl
dnl #
dnl define(`confTO_QUEUEWARN', `4h')dnl
dnl define(`confTO_QUEUERETURN', `5d')dnl
dnl define(`confQUEUE_LA', `12')dnl
dnl define(`confREFUSE_LA', `18')dnl
define(`confTO_IDENT', `0')dnl
dnl FEATURE(delay_checks)dnl
FEATURE(`no_default_msa', `dnl')dnl
FEATURE(`smrsh', `/usr/sbin/smrsh')dnl
FEATURE(`mailertable', `hash -o /etc/mail/mailertable.db')dnl
FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl
FEATURE(redirect)dnl
FEATURE(always_add_domain)dnl
FEATURE(use_cw_file)dnl
FEATURE(use_ct_file)dnl
dnl #
dnl # The following limits the number of processes sendmail can fork to accept
dnl # incoming messages or process its message queues to 20.) sendmail refuses
dnl # to accept connections once it has reached its quota of child processes.
dnl #
dnl define(`confMAX_DAEMON_CHILDREN', `20')dnl
dnl #
dnl # Limits the number of new connections per second. This caps the overhead
dnl # incurred due to forking new sendmail processes. May be useful against
dnl # DoS attacks or barrages of spam. (As mentioned below, a per-IP address
dnl # limit would be useful but is not available as an option at this writing.)
dnl #
dnl define(`confCONNECTION_RATE_THROTTLE', `3')dnl
dnl #
dnl # The -t option will retry delivery if e.g. the user runs over his quota.
dnl #
FEATURE(local_procmail, `', `procmail -t -Y -a $h -d $u')dnl
FEATURE(`access_db', `hash -T -o /etc/mail/access.db')dnl
FEATURE(`blacklist_recipients')dnl
EXPOSED_USER(`root'
)dnl
dnl #
dnl # For using Cyrus-IMAPd as POP3/IMAP server through LMTP delivery uncomment
dnl # the following 2 definitions and activate below in the MAILER section the
dnl # cyrusv2 mailer.
dnl #
dnl define(`confLOCAL_MAILER', `cyrusv2')dnl
dnl define(`CYRUSV2_MAILER_ARGS', `FILE /var/lib/imap/socket/lmtp')dnl
dnl #
dnl # The following causes sendmail to only listen on the IPv4 loopback address
dnl # 127.0.0.1 and not on any other network devices. Remove the loopback
dnl # address restriction to accept email from the internet or intranet.
dnl #
DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl
dnl #
dnl # The following causes sendmail to additionally listen to port 587 for
dnl # mail from MUAs that authenticate. Roaming users who can'
t reach their
dnl # preferred sendmail daemon due to port 25 being blocked or redirected find
dnl # this useful.
dnl #
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl
dnl #
dnl # The following causes sendmail to additionally listen to port 465, but
dnl # starting immediately in TLS mode upon connecting. Port 25 or 587 followed
dnl # by STARTTLS is preferred, but roaming clients using Outlook Express can'
t
dnl # do STARTTLS on ports other than 25. Mozilla Mail can ONLY use STARTTLS
dnl # and doesn't support the deprecated smtps; Evolution
 
Perfil
 Citar
Christian
Publicado en 17/01/13 02:10  

Participa poco

Estado: desconectado
Forum User

Inscrito: 08/09/10
Publicaciones: 19
Se corto el sendmail.mc

En: /etc/mail/sendmail.mc

PHP Formatted Code
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl
dnl #
dnl # The following causes sendmail to additionally listen to port 465, but
dnl # starting immediately in TLS mode upon connecting. Port 25 or 587 followed
dnl # by STARTTLS is preferred, but roaming clients using Outlook Express can'
t
dnl # do STARTTLS on ports other than 25. Mozilla Mail can ONLY use STARTTLS
dnl # and doesn't support the deprecated smtps; Evolution <1.1.1 uses smtps
dnl # when SSL is enabled-- STARTTLS support is available in version 1.1.1.
dnl #
dnl # For this to work your OpenSSL certificates must be configured.
dnl #
dnl DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl
dnl #
dnl # The following causes sendmail to additionally listen on the IPv6 loopback
dnl # device. Remove the loopback address restriction listen to the network.
dnl #
dnl DAEMON_OPTIONS(`port=smtp,Addr=::1, Name=MTA-v6, Family=inet6'
)dnl
dnl #
dnl # enable both ipv6 and ipv4 in sendmail:
dnl #
dnl DAEMON_OPTIONS(`Name=MTA-v4, Family=inet, Name=MTA-v6, Family=inet6')
dnl #
dnl # We strongly recommend not accepting unresolvable domains if you want to
dnl # protect yourself from spam. However, the laptop and users on computers
dnl # that do not have 24x7 DNS do need this.
dnl #
dnl FEATURE(`accept_unresolvable_domains'
)dnl
dnl #
dnl FEATURE(`relay_based_on_MX')dnl
dnl #
dnl # Also accept email sent to "localhost.localdomain" as local email.
dnl #
LOCAL_DOMAIN(`localhost.localdomain'
)dnl
dnl #
dnl # The following example makes mail from this host and any additional
dnl # specified domains appear to be sent from mydomain.com
dnl #
MASQUERADE_AS(`dominio1.com.ar')dnl
MASQUERADE_EXCEPTION(`dominio2.com.ar'
)dnl
MASQUERADE_EXCEPTION(`dominio3.com.ar')dnl
MASQUERADE_EXCEPTION(`dominio4.com.ar'
)dnl
dnl #
dnl # masquerade not just the headers, but the envelope as well
dnl #
dnl FEATURE(masquerade_envelope)dnl
dnl #
dnl # masquerade not just @mydomainalias.com, but @*.mydomainalias.com as well
dnl #
dnl FEATURE(masquerade_entire_domain)dnl
dnl #
dnl MASQUERADE_DOMAIN(localhost)dnl
dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl
dnl MASQUERADE_DOMAIN(mydomain.lan)dnl
FEATURE(dnsbl, `bl.spamcop.net', `"Rechazado - vea: http://spamcop.net/bl.shtml?"$&{client_addr}')dnl
INPUT_MAIL_FILTER(`dkim-milter', `S=local:/var/run/dkim-milter/dkim-milter.sock')dnl
define(`confMILTER_MACROS_ENVFROM', `i, {auth_type}, {auth_authen}, {auth_ssf}, {auth_author}, {mail_mailer}, {mail_host}, {mail_addr}')dnl
MAILER(smtp)dnl
MAILER(procmail)dnl
dnl MAILER(cyrusv2)dnl
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 18/01/13 01:45  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
En /etc/mail/access, quita todo lo que tenga RELAY y deja sólo las direcciones IP locales del servidor y las de localhost. Poner los dominios con RELAY te deja abierto como open-relay porque permite que cualquiera que configure un cliente de correo como usuario@dominio.tuyo.algo, automáticamente tiene salida completa. Ese es, hasta donde pude ver, el único problema que tienes.

Utiliza autenticación para SMTP en lugar de hacerlo por RELAY.

chkconfig saslauthd on
service saslauthd start
service sendmail restart
 
Perfil Sitio Web
 Citar
Christian
Publicado en 18/01/13 04:44  

Participa poco

Estado: desconectado
Forum User

Inscrito: 08/09/10
Publicaciones: 19
Hola Joel, gracias por tu respuesta.

Mis clientes usan el Outlook para el envio y recepción de correos, si hago autenticación por SMTP, van a poder seguir usando el Outlook para los mails normalmente?

Me perdi un poco (perdona pero no soy experto en esto), el servicio saslauthd lo tendo activado, que tendria que modificar para que esto funcione?

Tendría que sacar todos los relay del /etc/mail/access ?

Muchas gracias.
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 19/01/13 04:47  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
No, no hay problema. Debes poder autenticar con prácticamente cualquier cliente de correo electrónico. Consulta la sección de manuales de este sitio para detalles de configuración de Sendmail con autenticación.

Al terminar, lee, estudia y aplica el manual de soporte para SSL/TLS.
 
Perfil Sitio Web
 Citar
Primero | Anterior | 1 2| Siguiente | Último
Contenido generado en: 0,68 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 12:23 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado