Hola.

Antes que nada tengo un cpanel con el WHM 8.4 Stable, exim 4.20, mailscanner + clamav antivirus.

Pues resulta que hoy entro a mis WHM para ver como andan las cosas y veo que el server load anda en 240%.

Asi que me voy corriendo a revisar cuales son los procesos que estan que estan consumiento mas recursos del cpu y vi una cantidad irreal de procesos relacionados con exim y mailscanner.

Cabe aclarar que en el servidor todas las cuentas que tengo son mias. Es un servidor basicament para un sitio muy grande y visitado que tengo y algunos proyectos personales, ninguna de mis cuentas tiene acceso shell, y he desactivado el acceso directo como root.

Asi pues me voy a checar las estadisticas de correo via whm y veo que andan algo altas, que se han estado enviando algunos mensajes que superan el promedio de lo que envio/recibo en un fin de semana, me voy a checar el mail queue y es alli donde veo que algo anda mal pues tengo mas de 800 mensajes en la lista de espera.

Me di cuenta que alquien, esta spamenado a una base de datos de AOL un mail para obtener "Viagra Generico" la pregunta es como puedo saber como estan haciendo eso desde mi servidor.

Si ya se que me van a decir que revise mis logs, pero en mi desesperacion lo primero que hice fue apagar el EXIM, despues borre toda la lista de espera de mensajes.

Ahora otro problema es que hice un tarball con los logs del dominio desde el fueron enviados los mensajes, pero al descomprimirlo en mi maquina, el archivo tiene un peso de 900 MB y tres veces intente abrirlo y tres veces se trabo mi PC. tambien me baje el log del exim, pero no me dice nada, solo aparecen las direcciones de aol, las cuales por cierto son mas de 200,000.

Otro dato es que ningun mensaje que fue enviado me reboto, ya saben direcciones que no existen, direcciones que el mailbox esta lleno, etc.

Me preocupa que de alguna manera se hayan metido a mi servidor y hallan instalado algun cron o algo por el estilo para enviar estos mensajes.

Cualquier ayuda sera eternamente agradecida.

Probablemente tienes algún agujero en tu seguridad, has actualizado todos los parches tu firewall esta activo?

Revisa tambien foros y programas de ese tipo que tengas instalados.

Probablemente no recibirás ninguno devuelto porque suelen poner otra dirección de respuesta para poder seguir usando el agujero...

Mirate el fichero de password en tu directorio etc haber si tienes algún usuario fantasma...

Hola ideas..., en el ENSIM PRO hay alguna forma de limitar la cantidad de emails que puede enviar un usuario?
Gracias

Que yo sepa no, pero estamos trabajando en ello

Se puede:

-----------------------------------------------------------------------
pico -w /usr/lib/opcenter/sendmail/install/sendmail.mc

Inserta esta línea en la sección 'define':
define(`confMAX_RCPTS_PER_MESSAGE', `10')dnl

guarda con ctrl-x, ctrl-y y luego corre el comando M4 para que los cambios tengan efecto:

m4 /usr/lib/opcenter/sendmail/install/sendmail.mc > /etc/sendmail.cf

Reinicia sendmail:
service sendmail restart
-----------------------------------------------------------------------

con esto, queda definido que el máximo de recipientes a los que puede enviar un usuario al mismo tiempo, sean 10 (`confMAX_RCPTS_PER_MESSAGE', `10'), puedes modificar esa cantidad por lo que estimes conveniente.

Saludos

... y esto se puede usan con el ENSIM PRO ??

Si funciona, pero eso te limita solamente que un mail se pueda enviar como máximo a N direcciones a lavez, no que un usuario pueda enviar sólo N mails al día.

Esa es la idea, justamente. Sería raro que un spammer haga un mail diferente para cada destinatario. Normalmente es el mismo repetido N veces, lo que se puede limitar de esta forma, por medio del bloqueo desde sendmail.

Saludos

Tambien

Una preguntita adicional.

hay alguna manera para que esta limitación de envios de correos se pueda establecer solo para un determinado dominio, del cual sospecho que hace spam?

Gracias

Si, directamente en la configuración de sendmail en cada dominio. Pero cada vez que edites el dominio por cualquier motivo, o hagas un upgrade a Ensim, esta configuración se perderá. En cambio en la forma mostrada arriba se mantiene.

Saludos,

... y esta sentencia también impedirá que pueda hacer envios utilizando programas de spamers tales como Worl Cast.

Entiendo que con tu consejo lo que se bloquea son los envios si los usuarios utilizan un correo(outlook, p.ejempolo) con su dominio y SMTP, o también bloquean cualquier salida masiva del servidor, aún utilicen un email ficticio?

Gracias

Debiera bloquear todo, pues lo que estamos haciendo ahí es bloquear directamente desde Sendmail.

Saludos,

El que sabe, sabe...

Pues yo no soy uno de ellos

Lo que sé , lo he aprendido en mi último año en estos foros, gracias a la ayuda de los que realmente saben como Jaume y otros en la sección en inglés.

Saludos

acabo de entontrar esto

http://www.geocities.com/steve93138/antispam.sh.txt


nomas falta probarlo

mmmm... mucho riesgo para mi gusto... ese script bloquea el puerto 25 del servidor, es decir, si un usuario comienza el envío de mail masivo (legal o no), inmediatamente todo el servidor deja de enviar/recibir mail.

¿Cómo se lo explicarías a los demás usuarios?

si, este script es algo extremista, pero se podria modificar quitando los comandos de bloqueo y al final se vee que muestra u mensaje que nos reportaria a nosotros

este seria solo como advertencia para que nosotros examinemos logs, accesos u otra cosa y poder tomar medidas en caso que sea necesario

mmmm.... pues tienes toda la razón, puede ser un buen sistema de monitoreo para el envío masivo de spam, vale la pena estudiarlo más a fondo.