Otra de problemas con SPAM

[FCHip]

Muy buenas a todos.
Tengo un problema con un envío masivo de correos a destinatarios que no existen (el buzón no existe aunque el dominio sí) y al cliente le devuelve un montón de mensajes de error.

En este servidor tengo unos 32 dominios virtuales alojados y tan sólo uno me da este problema.

Los mensajes de error son de 2 tipos, los del dominio aol.com me dice que no están permitidos y luego están del resto de dominios, son de este estilo:

Para buzones pertenecientes al dominio aol.com

This is the mail system at host ksxxxxx.kimsufi.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<pab100@aol.com>: host mailin-02.mx.aol.com[205.188.190.1] said: 550 5.1.1
<pab100@aol.com>: Recipient address rejected: aol.com (in reply to RCPT
TO
command)

Para spam enviado a otros dominios:


-----Mensaje original-----
De: Mail Delivery System [mailto:MAILER-DAEMON@ksxxxx.kimsufi.com]
Enviado el: jueves, 11 de agosto de 2011 13:18
Para: buzon@queenviaspam
Asunto: Undelivered Mail Returned to Sender

This is the mail system at host ksxxxx.kimsufi.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<nesume@hushmail.com>: host mx8.hushmail.com[65.39.178.134] said: 550 5.1.1
<nesume@hushmail.com>: Recipient address rejected: User unknown in
virtual
mailbox table (in reply to RCPT TO command)


details.txt

Reporting-MTA: dns; ks358005.kimsufi.com
X-Postfix-Queue-ID: 1C9FBFE5C4D
X-Postfix-Sender: rfc822; buzon@queenviaspam
Arrival-Date: Thu, 11 Aug 2011 13:17:58 +0200 (CEST)

Final-Recipient: rfc822; nesume@hushmail.com
Original-Recipient: rfc822;nesume@hushmail.com
Action: failed
Status: 5.1.1
Remote-MTA: dns; mx8.hushmail.com
Diagnostic-Code: smtp; 550 5.1.1 <nesume@hushmail.com>: Recipient address
rejected: User unknown in virtual mailbox table

Le llegan al cliente alrededor de 30 a 50 mensajes de estos todos los días y por lo visto en los logs estos son algunos de los buzones recopilados, hay de todo:
ffcobra@hotmail.com
copebf@bathatt.navy.mil
mvianinn@autostrade.it
stockettn@powerstore.net
customersupport@shopcyrusjiroux.com
dieterr@earthlink.net
rblades@ad.okstate.edu
pab100@aol.com
txrodriguez1@aol.com
redirishbear69@aol.com
jeaxquire@aol.com
nesume@hushmail.com
kduong@calwaste.com
hrnydyk@aol.com
bouxine@aol.com
dakinlad@aol.com
brunoguy@aol.com
materialsales@calwaste.com

Este es un ejemplo de cómo el mensaje ha salido hasta este último destinatario:
mail.info:Aug 11 13:06:10 ks358005 postfix/smtp[26390]: 261E4FE5C4D: to=<materialsales@calwaste.com>, relay=isis.concentric.com[207.155.248.169]:25, delay=20, delays=2.3/0.01/11/6, dsn=2.0.0, status=sent (250 Message queued as 65C4712CB8)

Como véis salen como benditos...

Tengo que decir que los mensajes de spam son enviados a cualquier hora del día, no sigue ningún patrón de horario concreto, por lo cual descarto la presencia de troyanos en los ordenadores del cliente ya que a muchas de esas horas los ordenadores están apagados.

Además la página web presente en ese dominio virtual es muy simple, es una mera presentación en flash de un par de archivos, por lo que también descarto vulnerabilidades en cms como joomla o wordpress presentes dentro de la propia página del dominio.

¿Cómo podría hacer para cortar esto?
Muchas gracias por vuestra ayuda.

Un cordial saludo.

[kurgans]

Si tan seguro estas que yo no me fio de lo que diga la persona de que su pc esta apagado cuando se manda spam, deberas buscar en su web los formularios o bien en su host los archivos que han podido subirle por algun sitio y que esten provocando esto.

Pero yo apostaria por su equipo

[FCHip]

(08-18-2011 06:52 PM)kurgans Wrote:  Si tan seguro estas que yo no me fio de lo que diga la persona de que su pc esta apagado cuando se manda spam, deberas buscar en su web los formularios o bien en su host los archivos que han podido subirle por algun sitio y que esten provocando esto.

Pero yo apostaria por su equipo

Hola Kurgans, gracias por tu respuesta.
La web no tiene formularios ni tiene nada, es simplemente un flash de introducción de 2 archivos.
Lo que he hecho es cambiar la contraseña del buzón que envía el spam para ir cambiándola por la nueva progresivamente en los clientes de correo que utilizan los ordenadores de esa oficina para ir descartando qué máquina puede ser la culpable.

Tienen dados de alta 5 buzones, de los cuales sólo 2 son los que envían spam según los logs del servidor. Además sólo se hace desde estas 2 cuentas de este único dominio, y tengo presentes en el servidor 32 dominios dados de alta.

He vaciado la cola de mensajes de correo pendientes en el servidor con 'postsuper -d ALL' y acabo de configurar la nueva contraseña en un outlook del primer ordenador que voy a probar a ver qué pasa.

En teoría si todo el mundo utiliza webmail y yo cambio la contraseña de los buzones para inutilizarles de momento los clientes configurados y les obligo a entrar por webmail, no se debería mandar spam, ¿no?

Ya te contaré las novedades.
Muchas gracias, un saludo.

[kilburn]

En teoría sí.

De todos modos repasa bien la carpeta de la web, y los logs del ftp. Hay varios virus por ahi que se instalan en el pc del cliente y le roban la contraseña ftp cuando este conecta. Luego ya entra el hacker por ftp, sube sus archivos php y se dedica a enviar mails o hacer scans con eso....