Desde hace 2 dias vengo recibiendo más de 6,000 emails devueltos por AOL que le estan siendo enviados desde mi servidor, al parecer desde el apache.

Hemos estado tratando de detectar al hijo de puta y he desactivado algunos sopechosos pero igual siguen llegando los email devueltos. Aqui pego un ejemplo para que alguien me de una idea de como encuentro al maldito! gracias amigos.

The original message was received at Sat, 20 Dec 2003 08:04:58 -0500 (EST)
from rs-216-12-123-123.ev1.net [216.12.123.123]

*** ATTENTION ***

Your e-mail is being returned to you because there was a problem with its
delivery. The address which was undeliverable is listed in the section
labeled: "----- The following addresses had permanent fatal errors -----".

The reason your mail is being returned to you is listed in the section
labeled: "----- Transcript of Session Follows -----".

The line beginning with "<<<" describes the specific reason your e-mail could
not be delivered. The next line contains a second error message which is a
general translation for other e-mail servers.

Please direct further questions regarding this message to your e-mail
administrator.

--AOL Postmaster



----- The following addresses had permanent fatal errors -----
>
>

----- Transcript of session follows -----
... while talking to air-xn01.mail.aol.com.:
>>> RCPT To:>
<<< 550 MAILBOX NOT FOUND
550 >... User unknown
>>> RCPT To:>
<<< 550 MAILBOX NOT FOUND
550 >... User unknown

Received: from server.midominio.com (rs-216-12-123-123.ev1.net [216.12.123.123]) by rly-xn06.mx.aol.com (v97.10) with ESMTP id MAILRELAYINXN62-7543fe448f92f3; Sat, 20 Dec 2003 08:04:57 -0500
Received: (from apache@localhost )
by server.midominio.com (8.11.6/8.11.6) id hBKDOuJ17423;
Sat, 20 Dec 2003 08:24:56 -0500
Date: Sat, 20 Dec 2003 08:24:56 -0500
Message-Id: <200312201324.hBKDOuJ17423@server.midominio.com >
To: grettelp@aol.com , drskaggs@aol.com , clingtree@aol.com , lcm520@aol.com ,
superbeca@aol.com
Subject: Find Someone's Password 4 Anything?
From: grettelpCTNfzytTPX@msn.com
Reply-To: grettelpCTNfzytTPX@msn.com
X-Mailer: DT_formmail
X-AOL-IP: 216.12.123.123
X-AOL-SCOLL-SCORE: 0:XXX:XX
X-AOL-SCOLL-URL_COUNT: 0

Te aconsejo que busques en los foros en ingles, la forma de detectarlo es especifica de cada panel de control.

Pero eso si, hazlo inmediato porque si hay notificaciones de que tu server está envíando spam, RS va a suspender tu servidor.

Prueba a analizar el maillog de el puedes sacar conclusiones.

Hay unos script de gpan que te informan del número de mails enviados búscalos y suerte

Gracias ideas....pero no se nada de inglés.

Yo uso el ensin pro 3.5.19, la opinión de mi Adm. del servidor es que el spamer es algún alojado en el server, pero no podemos detectarlo. Tu, amigo ideasmultiples, podrías ser más específico sobre donde y la forma de seguir las pesquizas.


¿como una alternativa hay alguna forma de bloquear para que no salga ningún email a AOL?

Gracias!!

Si bloqueas el envio ningun cñliente tuyo podrá enviar mensajes a los clientes de AOL, ¿no eso muy drástico?

Me paso lo mismo hace unas semanas , miles y miles de msg a AOL con publicidad de photoshop, localice la cta k lo enviaba y la blokee mientras veia k pasaba, al final era un scrip CGI mail k tenia instalado el cliente, lo borramos le di una alternativa en php para el enio de formularios y no volvio a suceder, aunke en mi caso no me los devolvieron se quedaron en la bandeja de salida (espero k fuese gracias al antispam, antivirus y mail control k instale para el exim).

Hola luixn, a mi me los devuelven los emails porque tengo un forward del root a un correo mio.

Mi problema es que no puedo identificar quién los envia, y para eso pido su ayuda.

Por lo pronto qusiera bloquear toda salida de emails dirigidos a AOL, cómo lo hago?

Gracias

tampoco seria la solucion, para hacer eso te aconsejo que busques en el foro de ensim. hay algunas opciones no muy ortodocas.
por lo que se ve es que estan madando los emails con un script atraves del cgi. una idea que se me ocurre es chequear todas las cuentas que tenes en el servidor por scripts cgis.

o sacarle los permisos de cgi a todas las cuentas hasta nuevo aviso. y despues de apoco ir habilitando una a una.

carlos

Según la cabecera, se esta enviando mediante algún script de alguno de tus clientes, tienes que dar con el para parar los envíos.

Según veo en la cabecera pone "DT_formmail", aunque no tengo claro si el tag lo pone AOL.

Bien, entra por SSH y busca en el espacio utilizado para las cuentas de tus clientes ficheros que se llamen formmail.cgi o formmail.php.

En el caso de que los datos esten en /home:
find /home -name "formmail*"

Si no encontrases nada puedes hacer una busqueda mas completa; busca la palabra formmail en los ficheros:

En el caso de que los datos estén en /home:
grep -r formmail /home

Suerte !

Gracias, voy a seguir sus consejos pero ello me tomará tiempo, mientras tanto me siguen llegando miles de devueltos del AOL y temo alguna queja y que RS (EV1) suspenda mi servidor.

Por ello les pedia algún scrip u comando que bloquee toda salida de correos a AOL.

gracias!

He cortado por lo sano ( o por lo bruto). He eliminado 2 archivos formmail.pl de CGI de 2 clientes. Son los unicos que tenian .pl porque entiendo que son los más vulnerables, pero cómo sé que eran ellos los del spam, o si tambien pueden enviarse desde un formmail.php.

Insisto agradecería algún comando o scrip para bloquear toda salida de mi servidor al dominio de AOL.COM o AOL.COM.UK

Gracias

Haz lo siguiente. Si tienes el nombre de los archivos, ve a las logs de los dominios en cuestión y haz lo siguiente:

grep elnombredelcgi.pl access_log

Esto te devolverá todas las lineas de las logs donde aparece elnombredelcgi.pl. Si estaban utilizando ese CGI para hacer SPAM, el cgi aparecerá de forma interminable, vamos, muchas veces. Si aparece tan solo un par de veces al día, pues no será SPAM.

Zero-cero ya nos dices algo.

Saludos,

Hola otra vez:D

Para bloquear a lo bruto, puedes hacer lo siguiente:

iptables -I INPUT -s LAIPQUEBLOQUEAMOS -j DROP

Igual que bloqueas una IP puedes bloquear rangos enteros. Luego, simplemente cambias el DROP por ACCEPT si deseas abrir el tráfico hacia esa IP o rango.

Saludos,

Ok, pero como hago para bloquear los envios de correo por dominio (AOL.COM) y no por IP ... o solamente es posible por IP y debo encontrar la IP de AOL y bloquearla toda?

Gracias

Desde tu ordenador mediante MsDOS puedes hacer:

ping aol.com

Esto te dará la IP de aol.com ( Ojo, te dará la IP de aol.com, no se si será la que realmente estás buscando )

Saludos,

Hola nickmm,
pero por favor aclárame: Yo quiero que NO SALGAN EMAIL DE MI SERVIDOR hacia AOL.COM.

El comando: "grep elnombredelcgi.pl access_log" que me has recomendado es para evitar enviar o para evitar recibir? porque para el bloqueo de spam lo puedo hacer desde el panel del ENSIM

Gracias por tu apoyo!

Mira este hilo del foro http://forums.ev1servers.net/showthread.ph...t=spamcop+ensim

No Zero-Cero, no me has entendido.

Has comentado en este hilo, que habias eliminado dos CGI ya que creias que desde estos programas estaban haciendo spam ¿no?. Y preguntabas como podias saber que CGI era el que estaban utilizando para hacer spam.

Bien, para saber si estaban haciendo spam desde esos CGIs, yo te he recomendado que busques en las logs de los dominios que tienen esos CGIs las entradas hacia el CGI. Me explico, si el CGI que supongo que será un formmail se ejectua 100 veces por segundo fijo que desde ese programa se está spmaeando, tu cliente u otra persona utilizando el CGI de tu cliente. Si en cambio el CGI se ejecuta dos veces al día, eso no es spam.

Para saber si el CGI se está ejecutando miles de veces, vas al directorio que contiene las logs del dominio, si están en Ensim será:

cd /home/virtual/eldominio.com/var/log/httpd

En este directorio haces:

grep elnombredelcgi.pl access_logs

Este comando, buscará y te mostrará todas las lineas donde aparece elnombredelcgi.pl y así podrás ver si tus sospechas eran ciertas o no. Es decir, si aparecen 2000 lineas de ese CGI fijo que es spam, y fijo que era desde ese CGI de donde lo estaban mandado. Fijate en las horas de ejecución del CGI.

Luego, si quieres bloquear la IP de AOL, debes averiguar la ip, cosa fácil ya que mediante un ping la puedes sacar, y bloquearla mediante el IPTABLES ( o tu firewall, piensa que si no todos, la gran mayoría de firewalls están basados en el IPTABLES ). Para bloquear la IP haces esto:

iptables -I INPUT -s laipdeaol -j DROP

Así has bloqueado el tráfico de tu máquina hacia esa IP en concreto.

Piensa que aol.com y laipdeaol es lo mismo. Lo que pasa es que aol tendrá muuuuuuuuuuuuuuuchos servidores y cada uno con una IP aunque todos trabajen bajo aol.com. Es decir, los servidores de correo estarán en distintas máquinas y por esto debes averiguar la IP que corresponde al servidor de correo de aol que quieres bloquear.

Bueno Zero-cero, si no entiendes algo, vuelve a postear,

Saludos,

Si entendí...pero solo la mitad.

La parte de comprobar si los "formmail.pl" borrados eran los spamers está claro, y en eso estoy. Gracias

La parte que no tenía claro es la de bloquear las IP de AOL, porque suponia que tendría cientos de servidores, por ello quería saber si había alguna opción para el bloqueo por nombre de dominio "aol.com" y no por su IP(s), porque si bloqueo por dominio creo que ello tendría más alcence e impediría la salida de los emails cual fuese la IP de los distintos servidores de AOL.

Gracias !!

Hola Zero Cero.

A mi me paso exactamente lo mismo, miles y miles de mensajes enviados desde cuentas no existentes de uno de mis dominios (Y digo de uno de mis dominios por que es una cuenta mia, alojada en mi servidor) hacia direcciones de email de AOL.

Tuve este problema durante casi una semana, y la bronca a parte de los mensajes es que mi server se cargaba hasta en un 90% alentando todos los sitios que en el alojo.

Busque y busque y no encontre como lo hacian, de momento la unica opcion que tenia para parar el envio de mensajes era apagar el servicio de Exim (para que bajara la carga del servidor) y luego iba matando cada uno de los procesos del envio de mensajes.

Al final tuve que bajarme el log de apache del sitio en cuestion y revisar linea por linea para tratar de encontrar donde estaba el problema (cosa que fue muy tardada y cansada por que el dichoso arhivo del log pesa mas de 350 MB).

Al final encontre que estaban llamando un archivo de perl que utilizo para dar de alta en un newsletter justo al mismo tiempo que vi que salian muchos mensajes del servidor.

Borre dicho archivo de la cuenta (subscribe.cgi) y dejaron de salir mensajes.


Gracias al imbecil que hizo esto, mi IP esta banneada en AOL asi que ninguno de los mensajes que se enviaron llegaron a su destino y es poco probable que RS me jale las orejas, pero aun asi la carga del servidor era exageradamente alta mientras enviaban los mensajes.

Prueba bajandote el log de apache de la cuenta desde la cual estan saliendo los mensajes y buscate algun archivo de perl.

saludos.

Carlos.

Gracias chapsrulez, diste en el clavo. Parece que se solucionó mi problema.Feliz Navidad !!

Zero
P.S. TODAVIA NO SE ARREGLA MI PROBLEMA CON AOL, POR FAVOR LERR SIGUIENTE POST.

Caray, amigos, me siguen llegando los correos devueltos de AOL. ya no sé por donde retomar el hilo.... y temo alguna queja o sanción por RS

...La unica solucion temporal que se me ocurre es bloquear todas las salidas de emails al dominio AOL.COM (no por IP) ¿alguién sabe cómo hacerlo?.
Gracias

Bloquea la IP de AOL.com (149.174.130.216) por Iptables como te indicaban arriba, eso hará que tu server no pueda comunicarse con AOL.

Saludos

Te recomiendo este script.

Recuerda bajarlo y ponerle permisos

chmod u+x report_mails

Listo.

Luego corre modificacodes que necesites segun
la ayuda del script....

Ej:

Para ver los dominios locales que reciben y envian....

./report_mails --in
./report_mails --out

Para ver si salen o entran mails de AOL

./report_mails --relay-out |grep aol
./report_mails --relay-in |grep aol


Fijate que podes buscar por fecha tambien....

Pero ahi te vas a poder dar cuenta que dominio esta
molestando y luego ahi buscar en los logs de ese dominio
por scripts.

Si necesitas mas ayuda para buscar avisame.

Saludos.

Hola Zero,

¿Estás seguro que los mails salen de tu servidor?
Yo tenía el siguiente problema:

Me llegaban muchos mails rebotados de AOL, pero realmente no salían de mi servidor. Quien los enviaba, indicaba que salían de mi servidor, por lo que al rebotarlos me caían en mi cuenta de email.

Existen programas para envíos masivos y estos programas se configuran con el nombre de la cuenta origen, por lo cual es sencillo indicar una cuenta de tu server, aún cuando nunca salen de él.

Lo que resolví fue un forward de la cuenta de mi dominio que recibia los mensajes rebotados, reenviandolos a xxx@microsoft.com.

Ahora no los recibo mas.

Bier,

Lo que has has echo redirigiendo los emails a xxx@microsoft.com se llama mailbomb y esta indicado en las normas de uso que no se puede hacer, si te ponen una queja te desenchufarán el servidor, al fin y al cabo estás haciendo spam.

dirígelos a /dev/null y no molestarás a nadie.

puedes bloquear correos, dominios o IP's de servidores de correos en

/etc/mail/access

ejemplo:


hola@aol.com deny
aol.com.uk deny
123.123.123.123 deny
111.111.111 deny

despues reinicias sendmail

/sbin/service sendmail restart

-------------------------
Hola Zero,
¿Estás seguro que los mails salen de tu servidor?,
-------------------------

El Administrador del servidor me confirmó que los emails salian de mi servidor utilizando un formmail.php que lo redirigía a un .pl

Lo que hemos hecho es renombrar los formmail.php de los clientes (3) para inutilizarlos y les hemos exigido que actualicen su versión.

Desde que hemos eliminado los formmail.php ya no nos devuelven más correos de AOL, y por ahora parace que el asunto está arreglado.

Cualquier novedad los tendré al tanto.

Amigos, gracias a todos por su ayuda !!
Zero-0