Forums:
Amigos como esta, queria ver si me ayudan en como puedo saber que maquina es la que me esta enviando spam, o si es problema en el servidor.
Ya que el dia viernes anterior fui enlistado en cbl, y no podia enviar correos, quitamos a nuestra ip de cbl, y sorpresa hoy nuevamente estamos en las listas y de nuevo no puedo enviar correos
.
Entonces quisiera tratar de saber cual es la cuasa si algun usuario con virus o algun bug en el servidor.
no se si me pueden dar algunos tips de como puedo tratar de identificar esto con que comando o que logs debo revisar.
Uso postfix con autentificacion.
Saludos
Prueba con iptraf, quizás
Prueba con iptraf, quizás puedas encontrar a la estación de trabajo que te está generando las conexiones SMTP del spam ...
Tienes permitida la salida del puesto 25 TCP en tu firewall ...??? si es así prohíbela y que solo el mail server tenga salida al puerto 25 ...
bye
;)
Gracias por la respuesta voy
Gracias por la respuesta voy a revisar lo del iptraf, y revisar lo del puerto 25. Cualquier novedad les estoy comentando gracias
Fernando
Lo primero
Lo primero es revisar los logs, ya que dependiendo de la CBL, además de decirte porque te banean, generalmente te indican la hora aproximada del evento.
Con hora en mano, vas y revisas los logs, en un período +/- 5 min y créeme uno que es necio porque allí en los logs es donde uno debe iniciar.
A mi no me gusta usar el puerto 25 para que mis usuarios envíen correo, para eso está el 587 y el 465. Así que la sugerencia de DeathUser es un imperativo que no deberías ignorar.
La cola de correos también es un buen lugar donde encontrar evidencia, especialmente cuando hay spamtraps de por medio.
Hay una herramienta que se llama pflogsumm, es muy útil ya que te genera un reporte que te permite detectar de manera más fácil algún problema.
Hazle pruebas de openrelay también, conectate via telnet al puerto 25 y sin autenticar trata de enviar correo a hotmail, yahoo, etc, si tu server está bien configurado no te debe permitir hacer esto.
Te cuento una anécdota, hace unas semanas me tope con un caso en que la ip de un mail server fue baneada, y luego de buscar en los logs se encontró que la contraseña de un usuario de la organización había sido comprometida, y que el spammer envíaba correo conectándose con credenciales reales y allí la moraleja: de nada sirve un server bien configurado si los usuarios usan contraseñas débiles.
Un último consejo: Los problemas no se arreglan mágicamente, es necesario descubrir la causa y solucionarla, así que pilas revisa hasta dar con la causa y tener un entendimiento claro de lo que sucedió.
"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net
hombre facil con
hombre facil con tcpdump
tcpdump -w test.pcap -i eth1 tcp port 25
para leer el archivo
tcpdump -ttttnnr test.pcap
detectas al cojonudo q te esta enviando spam, y le metes un tcpdump again solo a la ip para cehcar de nuevo.....
easy....
Mis Problema
queria saber si lograste solucionar tu inconveniente, como detectar la ip que esta generando spam, ya que a mi me paso lo mismo tuve que cambiar la ip publica del server proxy pero esa no es la solucion definitiva.
NO amigo nunca pude saber
NO amigo nunca pude saber quien fue, pero en mi caso por suerte con solo cambiar la direccion ip publica se soluciono.
Si encuentras una forma de descubrir porfa publicala.
Saludos
Fernando