Forums:
Amigos como estan, queria ver si me ayudan tengo un servidor de correo configurado con sendmail y mailscanner, todo trabajando bien hasta hace un par de dias que se predento algo raro.
A un usuario de la empresa le empesaron a llegar full correos que con asunto Mail Delivery Subsystem revisando los log de correo, veo que esa cuenta esta intentando enviar varios correos spam.
Revisando la pc del usuario veo que el no ha intentado enviar ni uno solo de los que estan saliendo en los log, he cambiado ya la clave del usuario a una mas segura, pero sigo teniendo estos mensajes de correo.
Adjunto pego una parte de los log del dia de hoy
[root@linux ~]# tail -f /var/log/maillog | egrep usuario@midominio.com
Feb 24 09:55:20 linux sendmail[29282]: s1N3Xblb029145: to=, ctladdr= (516/516), delay=1+11:19:57, xdelay=00:04:00, mailer=esmtp, pri=13201577, relay=mail2.chpnet.org. [159.123.253.108], dsn=4.0.0, stat=Deferred: Connection timed out with mail2.chpnet.org.
Feb 24 09:56:16 linux sendmail[30023]: s1NHGbvS009848: to=, ctladdr= (516/516), delay=21:37:37, xdelay=00:02:00, mailer=esmtp, pri=8311594, relay=southernbell.net. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with southernbell.net.
Feb 24 09:57:14 linux sendmail[30876]: s1ODLvON027477: to=, ctladdr= (516/516), delay=01:34:19, xdelay=00:04:00, mailer=esmtp, pri=1141709, relay=listbot.com. [65.55.58.201], dsn=4.0.0, stat=Deferred: Connection timed out with listbot.com.
Feb 24 09:57:21 linux sendmail[29282]: s1N3Xbla029145: to=, ctladdr= (516/516), delay=1+11:22:10, xdelay=00:02:01, mailer=esmtp, pri=13201622, relay=allenschool.com. [64.99.64.37], dsn=4.0.0, stat=Deferred: Connection timed out with allenschool.com.
Feb 24 09:58:16 linux sendmail[30023]: s1NHGbvK009848: to=, ctladdr= (516/516), delay=21:40:21, xdelay=00:02:00, mailer=esmtp, pri=8341636, relay=utsouthwestern.com. [199.242.239.152], dsn=4.0.0, stat=Deferred: Connection timed out with utsouthwestern.com.
Feb 24 10:01:22 linux sendmail[29282]: s1MBCEgN012424: to=, ctladdr= (516/516), delay=2+03:48:50, xdelay=00:02:00, mailer=esmtp, pri=19081436, relay=tibbeecreekinteractive.com. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with tibbeecreekinteractive.com.
Feb 24 10:02:18 linux sendmail[30023]: s1N3XblY029145: to=,,, ctladdr= (516/516), delay=1+11:27:22, xdelay=00:02:00, mailer=esmtp, pri=13021229, relay=swiftbrands.com. [12.109.81.14], dsn=4.0.0, stat=Deferred: Connection timed out with swiftbrands.com.
He revisado la pc del usuario por si tiene algun virus usa mac, pero igual no encontre nada raro, he revisado tambien en el access y solo tengo hecho relay a los usuarios de la red, no se que mas puedo revisar para resolver este problema?
Monitorea el servidor y mira
Monitorea el servidor y mira qué máquina es la que está haciendo los envíos de mail ...
bye
;)
gracias deathUser, por la
gracias deathUser, por la respuesta pero si estoy con este comando revisando la cuenta del usuario
tail -f /var/log/maillog | egrep usuario@dominiio.com
Y los logs me dan algo como esto
Feb 24 11:03:24 linux sendmail[31813]: s1MBCEgM012424: to=<4119@kellservices.com>, ctladdr= (516/516), delay=2+04:51:05, xdelay=00:02:01, mailer=esmtp, pri=19501579, relay=email2db.parklogic.com. [108.60.201.80], dsn=4.0.0, stat=Deferred: Connection timed out with email2db.parklogic.com.
Feb 24 11:04:19 linux sendmail[32283]: s1N3Xblc029145: to=, ctladdr= (516/516), delay=1+12:28:46, xdelay=00:02:00, mailer=esmtp, pri=13651565, relay=mail.tmail.com. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with mail.tmail.com.
Feb 24 11:05:24 linux sendmail[31813]: s1M0fwt8005083: to=, ctladdr= (516/516), delay=2+15:20:07, xdelay=00:02:00, mailer=esmtp, pri=23281557, relay=wilberfforce.edu. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with wilberfforce.edu.
Feb 24 11:05:25 linux sendmail[31813]: s1M0fwt6005083: to=,, ctladdr= (516/516), delay=2+15:20:39, xdelay=00:00:00, mailer=esmtp, pri=23281572, relay=keyclub.com. [205.234.15.6], dsn=4.0.0, stat=Deferred: Connection refused by keyclub.com.
Feb 24 11:05:26 linux sendmail[31813]: s1M0fwt9005083: to=, ctladdr= (516/516), delay=2+15:19:51, xdelay=00:00:01, mailer=esmtp, pri=23251531, relay=cuphd.org. [69.43.160.200], dsn=4.0.0, stat=Deferred: Connection refused by cuphd.org.
Feb 24 11:06:19 linux sendmail[32283]: s1N3Xblc029145: to=, ctladdr= (516/516), delay=1+12:30:46, xdelay=00:02:00, mailer=esmtp, pri=13651565, relay=yahoo.con. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with yahoo.con.
Feb 24 11:07:15 linux sendmail[32571]: s1ODLvON027477: to=, ctladdr= (516/516), delay=02:44:20, xdelay=00:10:01, mailer=esmtp, pri=1501709, relay=mx.infoave.net. [165.166.0.25], dsn=4.0.0, stat=Deferred: Connection timed out with mx.infoave.net.
Feb 24 11:07:27 linux sendmail[31813]: s1M0fwt5005083: to=, ctladdr= (516/516), delay=2+15:23:08, xdelay=00:02:01, mailer=esmtp, pri=23281649, relay=bakerperpetrolite.com. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with bakerperpetrolite.com.
Feb 24 11:08:13 linux sendmail[472]: s1ODLvOO027477: to=, ctladdr= (516/516), delay=02:45:05, xdelay=00:02:00, mailer=esmtp, pri=1291155, relay=jandkprintinc.com. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with jandkprintinc.com.
Feb 24 11:09:16 linux sendmail[32571]: s1NHGbvS009848: to=, ctladdr= (516/516), delay=22:50:37, xdelay=00:02:00, mailer=esmtp, pri=8761594, relay=nutsie.com. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with nutsie.com.
Feb 24 11:10:20 linux sendmail[32283]: s1N3Xblb029145: to=, ctladdr= (516/516), delay=1+12:34:57, xdelay=00:04:01, mailer=esmtp, pri=13651577, relay=smtp.chpnet.org. [159.123.253.122], dsn=4.0.0, stat=Deferred: Connection timed out with smtp.chpnet.org.
Por ejemplo en el ultima linea veo que esta intentando enviar desde relay=smtp.chpnet.org
Pero como puedo evitar eso veo que no esta saliendo de mi red.
O como mas puedo monitorear de mejor forma
Fernando
Revisaste si tu servidor no
Revisaste si tu servidor no tiene un open-relay ...???
Hay páginas que te permiten hacer ese tipo de chequeos.
Para monitorear las conexiones puedes usar iptraf o jntop o similares que te dejaran ver que IP es la que est'a haciendo muchas conexiones a tu puerto SMTP ...
bye
;)
Gracias, si revise en esta
Gracias, si revise en esta pagina http://mxtoolbox.com/SuperTool.aspx
Y no estoy como open relay. Ahora voy a ver si logro detectar desde donde me estan enviando los correos. No se si tienes algun comando que me pueda ayudar con esto
Saludos
Fernando
debe tener una clave débil,
debe tener una clave débil, le descubrieron la clave cosa que hacen ahora y están usando autenticación para enviar mails a través del servidor.
solución: usa claves más fuertes.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre