Algún maldito está enviando spam a abuse@ev1.net usando mi IP (quizás con World Cast) poniendo como remitente a info@midominio.com
Por favor cómo puedo hacer para bloquear el envío de emails desde mi servidor a uno o más direcciones o dominios. Por ejemplo quiero bloquear para que nadie envíe a abuse@ev1.net ó abuse@yahoo.com, etc.
Gracias
Zero
Full Version: Spam a abuse@ev1.net con mi IP
Pero desde que cuenta de correo se estan enviando esos correos que dices?
Ponen cualquier cuenta de correo info@midominio.com ó info@hueznar.com o info@yahoo.com..en fin. Todas son falsas pero sales desde mi servidor, usando mi IP
Sinceramente no se me ocurre ninguna solucion a priori mas que envies un ticket urgente a ev1 para que tomen cartas en el asunto. Desconozco en que esta basado tu sistema para sugerirte cualquier cosa. Ultimamente estoy demasiado concienciado con el tema de las "bromitas" ajenas. 
Bueno, pero cómo hago para impedir que cualquier usuario de mi servidor ( o cualquiera que utilice mi IP) envie emails a un correo determinado.
Por favor, su ayuda...siguen enviando spam usando mi IP
Tengo Ensim pro 3.5.21 con mailscanner y APF
Gracias
Por favor, su ayuda...siguen enviando spam usando mi IP
Tengo Ensim pro 3.5.21 con mailscanner y APF
Gracias
Una pregunta como lo sabes? haz hecho un tail -f /var/log/maillog y has mirado cuando se envian?
Otro tema es cualquier puede falsificar la direccion de respuesta, pero mirando el registro de correo se puede ver desde que cuenta se envio incluso la IP de la persona que lo envio.
Lo que te ocurre me a pasado a mi, pero mirando el log en 1 dia lo caza
, el problema es lo que contenga el mail, eso si que es un problema.
Otro tema es cualquier puede falsificar la direccion de respuesta, pero mirando el registro de correo se puede ver desde que cuenta se envio incluso la IP de la persona que lo envio.
Lo que te ocurre me a pasado a mi, pero mirando el log en 1 dia lo caza
, el problema es lo que contenga el mail, eso si que es un problema.
Bueno, no solo lo he visto en el maillog, sino que el propio RS me escribió que había recibido más de 1600 emails de spam, y, además, me denunció a las centrales de Riesgo como spamer.
¡La pucha!, tiene que haber alguna forma para evitar que salgan correos de mi server a un dominio determinado, más aún cuando es el de EV1 el afectado...
Gracias por cualquier consejo
¡La pucha!, tiene que haber alguna forma para evitar que salgan correos de mi server a un dominio determinado, más aún cuando es el de EV1 el afectado...
Gracias por cualquier consejo
El server de donde sale es tu server primario con el que te comunicas con EV1?
Te recomiendo bloquear con iptables para que ese server no pueda ver a EV1...
Urgente!!!! De lo contrario apaga el sendmail.....eso te va a perjudicar menos que todo los mails que estan saliendo.
Por otro lado, podrias pegar aqui algunas lineas de tu log donde te das cuenta de lo que te esta pasando?
Te recomiendo bloquear con iptables para que ese server no pueda ver a EV1...
Urgente!!!! De lo contrario apaga el sendmail.....eso te va a perjudicar menos que todo los mails que estan saliendo.
Por otro lado, podrias pegar aqui algunas lineas de tu log donde te das cuenta de lo que te esta pasando?
No, yo me comunico con Ev1 mediante una antigua cuente Yahoo.
He tenido que detener varias veces el sendmail al comenzar el spam, pero mis clientes me quieren matar.
También estoy parando la web mediante un "service httpd stop y/o restart" y entonces se detiene el spam.
Voy a buscar unas líneas del log para pegarlas aquí. Gracias!
He tenido que detener varias veces el sendmail al comenzar el spam, pero mis clientes me quieren matar.
También estoy parando la web mediante un "service httpd stop y/o restart" y entonces se detiene el spam.
Voy a buscar unas líneas del log para pegarlas aquí. Gracias!
QUOTE
También estoy parando la web mediante un "service httpd stop y/o restart" y entonces se detiene el spam.
Estarán utlizando algún formmail? Por lo que dices es lo que parece.Fíjate en el suexec_log para ver si hay algún formmail ( o variantes ) que esten utilizando.
Saludos,
Debes tener algun cgi o php vulnerable, y alguien se está aprovechando de la situación.
De todas formas, si tu bloqueas desde iptables las ips de los servidores de correo de EV1 qué problema hay? Si dices que la comunicación se realiza mediante una cuenta de yahoo...
Gerard
De todas formas, si tu bloqueas desde iptables las ips de los servidores de correo de EV1 qué problema hay? Si dices que la comunicación se realiza mediante una cuenta de yahoo...
Gerard
-------------------------------------------------------------------------------
si tu bloqueas desde iptables las ips de los servidores de correo de EV1 qué problema hay?
------------------------------------------------------------------------------
Dame una manito, y dime el código de iptables para bloquear los servidores de correo de EV1.
Gracias
si tu bloqueas desde iptables las ips de los servidores de correo de EV1 qué problema hay?
------------------------------------------------------------------------------
Dame una manito, y dime el código de iptables para bloquear los servidores de correo de EV1.
Gracias
He encontrado miles de estas lineas en el log de messages:
Feb 23 15:56:05 ensim kernel: ** IN_TCP DROP ** IN=eth0 OUT= MAC=00:10:dc:ca:2b:e3:00:e0:52:11:a0:98:08:00 SRC=80.178.181.29 DST=216.xx.xx.xx LEN=48 TOS=0x04 PREC=0x00 TTL=111 ID=56754 DF PROTO=TCP SPT=4413 DPT=25 WINDOW=65280 RES=0x00 SYN URGP=0
Feb 23 15:56:06 ensim kernel: ** IN_TCP DROP ** IN=eth0 OUT= MAC=00:10:dc:ca:2b:e3:00:e0:52:11:a0:98:08:00 SRC=200.106.116.80 DST=216.xx.xx.xx LEN=48 TOS=0x04 PREC=0x00 TTL=115 ID=7469 DF PROTO=TCP SPT=13850 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 23 15:56:05 ensim kernel: ** IN_TCP DROP ** IN=eth0 OUT= MAC=00:10:dc:ca:2b:e3:00:e0:52:11:a0:98:08:00 SRC=80.178.181.29 DST=216.xx.xx.xx LEN=48 TOS=0x04 PREC=0x00 TTL=111 ID=56754 DF PROTO=TCP SPT=4413 DPT=25 WINDOW=65280 RES=0x00 SYN URGP=0
Feb 23 15:56:06 ensim kernel: ** IN_TCP DROP ** IN=eth0 OUT= MAC=00:10:dc:ca:2b:e3:00:e0:52:11:a0:98:08:00 SRC=200.106.116.80 DST=216.xx.xx.xx LEN=48 TOS=0x04 PREC=0x00 TTL=115 ID=7469 DF PROTO=TCP SPT=13850 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0
Lo que te pido es que pongas aqui algunas lineas de lo que encontraste dentro de tu maillog.
Saludos.
Saludos.
Primero miramos la MX del dominio...
Y luego nos incomunicamos con ella
Con ésto, ev1.net no debería recibir mails tuyos..
Gerard
QUOTE
[tralari@mirrorings tralara]$ dig ev1.net mx
; <<>> DiG 9.2.2 <<>> ev1.net mx
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45833
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; QUESTION SECTION:
;ev1.net. IN MX
;; ANSWER SECTION:
ev1.net. 28000 IN MX 5 inmail.ev1.net.
;; AUTHORITY SECTION:
ev1.net. 28000 IN NS ns2.ev1.net.
ev1.net. 28000 IN NS ns1.ev1.net.
;; ADDITIONAL SECTION:
inmail.ev1.net. 28000 IN A 207.218.192.49
ns1.ev1.net. 163948 IN A 216.88.76.6
ns2.ev1.net. 163948 IN A 216.88.77.7
;; Query time: 4 msec
;; SERVER: a.b.c.d#53(a.b.c.d)
;; WHEN: Thu Feb 26 15:45:02 2004
;; MSG SIZE rcvd: 132
[tralari@mirrorings tralara]$ dig inmail.ev1.net
; <<>> DiG 9.2.2 <<>> inmail.ev1.net
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35578
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;inmail.ev1.net. IN A
;; ANSWER SECTION:
inmail.ev1.net. 27982 IN A 207.218.192.49
;; AUTHORITY SECTION:
ev1.net. 27982 IN NS ns2.ev1.net.
ev1.net. 27982 IN NS ns1.ev1.net.
;; ADDITIONAL SECTION:
ns1.ev1.net. 163930 IN A 216.88.76.6
ns2.ev1.net. 163930 IN A 216.88.77.7
;; Query time: 2 msec
;; SERVER: a.b.c.d#53(a.b.c.d)
;; WHEN: Thu Feb 26 15:45:20 2004
;; MSG SIZE rcvd: 116
; <<>> DiG 9.2.2 <<>> ev1.net mx
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45833
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; QUESTION SECTION:
;ev1.net. IN MX
;; ANSWER SECTION:
ev1.net. 28000 IN MX 5 inmail.ev1.net.
;; AUTHORITY SECTION:
ev1.net. 28000 IN NS ns2.ev1.net.
ev1.net. 28000 IN NS ns1.ev1.net.
;; ADDITIONAL SECTION:
inmail.ev1.net. 28000 IN A 207.218.192.49
ns1.ev1.net. 163948 IN A 216.88.76.6
ns2.ev1.net. 163948 IN A 216.88.77.7
;; Query time: 4 msec
;; SERVER: a.b.c.d#53(a.b.c.d)
;; WHEN: Thu Feb 26 15:45:02 2004
;; MSG SIZE rcvd: 132
[tralari@mirrorings tralara]$ dig inmail.ev1.net
; <<>> DiG 9.2.2 <<>> inmail.ev1.net
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35578
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;inmail.ev1.net. IN A
;; ANSWER SECTION:
inmail.ev1.net. 27982 IN A 207.218.192.49
;; AUTHORITY SECTION:
ev1.net. 27982 IN NS ns2.ev1.net.
ev1.net. 27982 IN NS ns1.ev1.net.
;; ADDITIONAL SECTION:
ns1.ev1.net. 163930 IN A 216.88.76.6
ns2.ev1.net. 163930 IN A 216.88.77.7
;; Query time: 2 msec
;; SERVER: a.b.c.d#53(a.b.c.d)
;; WHEN: Thu Feb 26 15:45:20 2004
;; MSG SIZE rcvd: 116
Y luego nos incomunicamos con ella
QUOTE
/sbin/iptables -I INPUT -s 207.218.192.49 -j DROP
Con ésto, ev1.net no debería recibir mails tuyos..
Gerard
Esa no es la solución, es el metodo del avestruz es decir esconder la cabeza, o sea es una chapuza...
Lo que tienes que hacer es averiguar de donde y porque está pasando, porque igual que lo envía ahora a ese sitio pueden utilizar el agujero, que indudablemente tienes en tu servidor, para hacer spam a cualquier lado.
Con lo que tienes muchas probabilidades de que te retiren el servidor y tengas que hacer un restore.
Te aconsejo que si tu no eres capaz de encontra el problema y solucionarlo contrates a algún profesional que si sepa hacerlo
Lo que tienes que hacer es averiguar de donde y porque está pasando, porque igual que lo envía ahora a ese sitio pueden utilizar el agujero, que indudablemente tienes en tu servidor, para hacer spam a cualquier lado.
Con lo que tienes muchas probabilidades de que te retiren el servidor y tengas que hacer un restore.
Te aconsejo que si tu no eres capaz de encontra el problema y solucionarlo contrates a algún profesional que si sepa hacerlo
Gracias gerard.e . Probaré
Es cierto lo que dices ideasmuletiples, esta no es la solución, pero, por lo menos, temporalmente, evito que salga spam dirigido a ev1 desde mi servidor, mientras encontramos el problema real de seguridad. En este problema está trabajando mi administrador de redes, quien es el que sabe de linux. Ojalá podamos dar una solución definitiva. Gracias por tus consejos.
Saludos
Es cierto lo que dices ideasmuletiples, esta no es la solución, pero, por lo menos, temporalmente, evito que salga spam dirigido a ev1 desde mi servidor, mientras encontramos el problema real de seguridad. En este problema está trabajando mi administrador de redes, quien es el que sabe de linux. Ojalá podamos dar una solución definitiva. Gracias por tus consejos.
Saludos
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.