Cursos Servidores con Centos
Sistema Operativo ALDOS

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Redes y Servidores Nuevo tema Publicar Respuesta
 Mi servidor envia correos spam.
Tema anterior Tema siguiente
   
fsigu
Publicado en 25/02/14 04:23 (Leído 2080 veces)  

Nuevo
Forum User

Inscrito: 09/12/10 Publicaciones: 8
Amigos como estan, queria ver si me ayudan tengo un servidor de correo configurado con sendmail y mailscanner, todo trabajando bien hasta hace un par de dias que se predento algo raro.

A un usuario de la empresa le empesaron a llegar full correos que con asunto Mail Delivery Subsystem revisando los log de correo, veo que esa cuenta esta intentando enviar varios correos spam.

Revisando la pc del usuario veo que el no ha intentado enviar ni uno solo de los que estan saliendo en los log, he cambiado ya la clave del usuario a una mas segura, pero sigo teniendo estos mensajes de correo.

Adjunto pego una parte de los log del dia de hoy

[root@linux ~]# tail -f /var/log/maillog | egrep usuario@midominio.com

Feb 24 09:55:20 linux sendmail[29282]: s1N3Xblb029145: to=, ctladdr= (516/516), delay=1+11:19:57, xdelay=00:04:00, mailer=esmtp, pri=13201577, relay=mail2.chpnet.org. [159.123.253.108], dsn=4.0.0, stat=Deferred: Connection timed out with mail2.chpnet.org.
Feb 24 09:56:16 linux sendmail[30023]: s1NHGbvS009848: to=, ctladdr= (516/516), delay=21:37:37, xdelay=00:02:00, mailer=esmtp, pri=8311594, relay=southernbell.net. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with southernbell.net.
Feb 24 09:57:14 linux sendmail[30876]: s1ODLvON027477: to=, ctladdr= (516/516), delay=01:34:19, xdelay=00:04:00, mailer=esmtp, pri=1141709, relay=listbot.com. [65.55.58.201], dsn=4.0.0, stat=Deferred: Connection timed out with listbot.com.
Feb 24 09:57:21 linux sendmail[29282]: s1N3Xbla029145: to=, ctladdr= (516/516), delay=1+11:22:10, xdelay=00:02:01, mailer=esmtp, pri=13201622, relay=allenschool.com. [64.99.64.37], dsn=4.0.0, stat=Deferred: Connection timed out with allenschool.com.
Feb 24 09:58:16 linux sendmail[30023]: s1NHGbvK009848: to=, ctladdr= (516/516), delay=21:40:21, xdelay=00:02:00, mailer=esmtp, pri=8341636, relay=utsouthwestern.com. [199.242.239.152], dsn=4.0.0, stat=Deferred: Connection timed out with utsouthwestern.com.
Feb 24 10:01:22 linux sendmail[29282]: s1MBCEgN012424: to=, ctladdr= (516/516), delay=2+03:48:50, xdelay=00:02:00, mailer=esmtp, pri=19081436, relay=tibbeecreekinteractive.com. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with tibbeecreekinteractive.com.
Feb 24 10:02:18 linux sendmail[30023]: s1N3XblY029145: to=,,, ctladdr= (516/516), delay=1+11:27:22, xdelay=00:02:00, mailer=esmtp, pri=13021229, relay=swiftbrands.com. [12.109.81.14], dsn=4.0.0, stat=Deferred: Connection timed out with swiftbrands.com.



He revisado la pc del usuario por si tiene algun virus usa mac, pero igual no encontre nada raro, he revisado tambien en el access y solo tengo hecho relay a los usuarios de la red, no se que mas puedo revisar para resolver este problema?

He revisado en esta pagina http://mxtoolbox.com/SuperTool.aspx a ver si estoy como open relay pero parece que no, no se si me ayudan con algun comando para revisar desde que ip estan haciendo las conexiones smtp y tratar de solucionar el inconveniente
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 25/02/14 03:31  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1755
País:Mexico
Significa que la cuenta de ese usuario se vio comprometido.

1) Cambia la contraseña del usuario involucrado y verifica que el usuario sólo utilice SSL/TLS para acceder y que su contraseña sea apropiada. Su equipo pudiera estar comprometido también. Busca si no tiene un troyano/gusano operando.

2) service mailscanner stop
killall -s12 sendmail

3) Revisa contenidos de /var/spool/mqueue y /var/spool/clientmqueue para confirmar que fue la cuenta de usuarios sospechosa.

4) Borra contenidos de ambos directorios (NO BORRES DIRECTORIOS).

5) Vuelve a iniciar servicios.
 
Perfil Sitio Web
 Citar
Contenido generado en: 0,09 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 06:50 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado