[Cerrado] spam en mi server

[Puntonetsvb]

me llegan mensajes de hotmail diciendo que desde mi server se envió correo spam a sus usuarios.

me devuelve el mensaje y lo envia un tal chris33@yahoo.com
xxxx@yahoo.com

¿Como podría decirle a postfix que solo envien las cuentas locales?, he comprobado y no soy un open relay

[kilburn]

A ver, lo primero que tienes que comprender es que la dirección del emisor puede ser diferente de la dirección utilizada para identificarse como usuario. Además, los programas que se ejecutan en tu máquina no requieren identificarse con usuario/contraseña para poder enviar correos. Por lo tanto, te pueden estar pasando tres cosas:

1. (lo más probable) Tienes una web vulnerable a través de la cual estan enviando los correos. Comprueba en el mail.log tus envios hacia hotmail (grep hotmail /var/log/mail.log) para intentar detectar desde qué usuario virtual se realizan los envíos. Una vez tengas el usuario, mira en los logs de apache de esa web a ver si hay más llamadas de lo normal a alguna página que envíe correos. Finalmente, desactiva esa página hasta que hayas corregido su problema.

2. (más raro pero posible) Alguna botnet ha conseguido acceso al ftp de alguno de tus usuarios. Como resultado, ha instalado ciertos programas cgi en tu server que utiliza para mandar correos directamente (sin pasar por postfix) y/o escanear otras máquinas en busqueda de vulnerabilidades, de rebentar contraseñas, lo que sea. Mira en las carpetas cgi-bin de tus webs a ver si encuentras algo sospechoso.

3. (más posible que 2, menos que 1) Alguno de tus usuarios ha sido infectado por un worm que utiliza sus credenciales para enviar mierda a través del postfix. Puedes utilizar "mailq" para ver los mensajes que hay en la cola de postfix. Si encuentras mensajes sospechosos luego buscar quien los ha enviado en /var/log/mail.log utilizando el identificador. Bloquea la cuenta de ese usuario hasta que se haya desinfectado.

[Puntonetsvb]

Punto 1
No me aparece nada en mail.log como que se haya enviado a las direcciones que lo han recibido

Punto 2

He revisado y no me aparece nada en cgi-bin revise el codigo de los scripts a ver si alguno hiciera un mail( que no debiera y nada

Punto 3

Me aparecen varios mensajes pendientes, pero nada fuera de lo normal

[kilburn]

Bueno, puedes probar lo siguiente para asegurarte que no hay ningún programa/cgi que envie correos sin pasar por postfix:

Code:

# iptables -I OUTPUT 5 -p tcp –dport 25 -m owner –uid-owner postfix -j ACCEPT
# iptables -I OUTPUT 5 -p tcp –dport 25 -m owner –uid-owner root -j ACCEPT
# iptables -I OUTPUT 5 -p tcp –dport 25 -j REJECT –reject-with-icmp-port-unreachable

Con eso iptables rechazará todas las conexiones salientes a puerto 25 excepto las iniciadas por los usuarios root y postfix.

Si con esto te siguen llegando informes de hotmail como que estas mandando correos infectados, solo hay dos opciones:

1. Mira mejor en los logs de postfix, buscando los correos por identificador (si los avisos de spam llegan con cabeceras donde se pueda ver el id del mail original).
2. Hotmail te esta mandando informes viejos.

[Puntonetsvb]

¿Pero y mis scripts que usan la función mail?

Funcionarian?

[kilburn]

la función mail, a menos que hayas toqueteado cosas tu, envia los correos a través del comando "sendmail", quien simplemente los pone en la cola de postfix (a través del servicio "pickup"). Por lo tanto, sí: tus scripts deberían seguir pudiendo enviar correos.

[Puntonetsvb]

Gracias Kilburn, efectivamente me acaba de llegar un mensaje de hotmail de spam de septiembre del año pasado