solucionar backscattering con sendmail
46 views
Skip to first unread message
Roy Alvear
Apr 24, 2013, 1:43:51 PM4/24/13
to linuxc...@googlegroups.com
Resumen:
Descubrí problema en un servidor sendmail con spam backscatter, he buscado soluciones pero no he encontrado una satisfactoria, alguien ha tenido éxito con alguna?
Texto Largo y explicado:
Estimada gente de la lista,
Tengo un servidor con CentOS release 5.7 actualizada, Sendmail 8.13.8-8.1.el5_7, con filtro de correos entrantes smf-zombie, el cual consulta a CBL. Esto había estado funcionando bien hasta que el otro día noté un flujo extraño en /var/log/maillog, busqué en internet y me encontre con que la definición de backscatter calza con lo que me sucedía.
Busque soluciones, entre las que apliqué las siguientes:
* http://staff.ie.cuhk.edu.hk/~sfluk/wordpress/?p=1397 (solución que encontré en múltiples foros y se me imagina debe haber sido aplicada por alguien de la lista en su momento, pues en los copy-paste está un servidor mx.uchile.cl, esto me marca los correos, pero aun así salen muchos, quizás no lo supe aplicar bien).
* http://www.elandsys.com/scam/ (paró inmediatamente el envío de correos backscatter, pero también frenó las conexiones de clientes desde outlook y thunderbird, solamente envía desde webmail).
Encontré el link de sugerencia que publicaron en la u federico santa maría, pero ya esta roto (elqui.dcsc.utfsm.cl/util/email/backscatter.html), parece que estaba bastante bueno pues es citado en múltiples foros y blogs, pero no lo encontré en el cahce de google.
Estoy aproblemado, pues mientras tanto este servidor sigue enviando correos de rebote. Lamentablemente no puedo cambiar de sendmail a postfix (que tiene este problema documentado de forma oficial) dado a que son reacios a los cambios de software en las maquinas en producción y con clientes activos, por lo que necesito encontrar soluciones con lo que hay actualmente. ¿alguien ha logrado poner freno a este ataque en un servidor multidominio con características similares?, de ser así agradecería enormemente vuestra ayuda.
Archivo /etc/mail/sendmail.mc actual:
divert(-1)dnl
include(`/usr/share/sendmail-cf/m4/cf.m4')dnl
VERSIONID(`linux setup for Red Hat Linux')dnl
OSTYPE(`linux')dnl
define(`confDEF_USER_ID',``8:12'')dnl
define(`confTRUSTED_USER', `smmsp')dnl
define(`confTO_CONNECT', `1m')dnl
define(`confTRY_NULL_MX_LIST',true)dnl
define(`confDONT_PROBE_INTERFACES',true)dnl
define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')dnl
define(`ALIAS_FILE', `/etc/aliases')dnl
define(`UUCP_MAILER_MAX', `2000000')dnl
define(`confMAX_MESSAGE_SIZE',20971520)dnl
define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl
define(`confPRIVACY_FLAGS', `goaway')dnl
define(`confAUTH_OPTIONS', `A')dnl
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confTO_QUEUEWARN', `4h')dnl
define(`confTO_QUEUERETURN', `4d')dnl
define(`confREFUSE_LA', `60')dnl
define(`confTO_IDENT', `0')dnl
define(`confMAX_RCPTS_PER_MESSAGE', `50')dnl
FEATURE(`no_default_msa',`dnl')dnl
FEATURE(`smrsh',`/usr/sbin/smrsh')dnl
FEATURE(`mailertable',`hash -o /etc/mail/mailertable.db')dnl
FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable.db')dnl
FEATURE(redirect)dnl
FEATURE(always_add_domain)dnl
FEATURE(use_cw_file)dnl
FEATURE(use_ct_file)dnl
FEATURE(local_procmail,`',`procmail -t -Y -a $h -d $u')dnl
FEATURE(`access_db',`hash -T<TMPF> /etc/mail/access')dnl
FEATURE(`blacklist_recipients')dnl
define(`VIRTUSER_TABLE', `hash -o /etc/mail/virtusertable')dnl
VIRTUSER_DOMAIN_FILE(`/etc/mail/virtuserdomain')dnl
define(`confMILTER_MACROS_HELO', confMILTER_MACROS_HELO`, {verify}')dnl
define(`confMILTER_MACROS_ENVFROM', confMILTER_MACROS_ENVFROM`, {msg_size}')dnl
INPUT_MAIL_FILTER(`smf-zombie', `S=unix:/var/smfs/smf-zombie.sock, T=S:30s;R:1m')dnl
define(`confMILTER_MACROS_CONNECT', `j, {if_addr}')
define(`confMILTER_MACROS_HELO', `{verify}, {cert_subject}')
define(`confMILTER_MACROS_ENVFROM', `i, {auth_authen}')
define(`confMILTER_MACROS_ENVRCPT', `{greylist}')
FEATURE(`blacklist_recipients')dnl
EXPOSED_USER(`root')dnl
DAEMON_OPTIONS(`Name=MTA')dnl
DAEMON_OPTIONS(`Port=587, Name=MSA, M=E')dnl
LOCAL_DOMAIN(`localhost.localdomain')dnl
FEATURE(masquerade_entire_domain)dnl
MAILER(local)dnl
MAILER(smtp)dnl
MAILER(procmail)dnl
Cuando probé con scam-back agregué la linea
INPUT_MAIL_FILTER(`scam-back', `S=unix:/var/spool/scam/scam-back.sock, F=T, T=S:240s;R:240s;E:5m')dnl
sobre la INPUT_MAIL_FILTER de smf-zombie y bajo la de smf-zombie
define(`confINPUT_MAIL_FILTERS',`scam-back, smf-zombie')dnl
Este archivo ha sido muy manipulado por varias personas que han pasado por la empresa, no soy especialista en sendmail, pero me da la sensación que le quedó basura de configuraciones eliminadas y quizá eso genere problemas, pero no lo se, agradezco posibles correcciones e ideas nuevas, pues estoy enfrascado en esto hace una semana, he hecho pruebas sin lograr deshacerme del SPAM por backscatter.
Cordialmente y agradecido desde ya por su buena disposición,
Roy
Descubrí problema en un servidor sendmail con spam backscatter, he buscado soluciones pero no he encontrado una satisfactoria, alguien ha tenido éxito con alguna?
Texto Largo y explicado:
Estimada gente de la lista,
Tengo un servidor con CentOS release 5.7 actualizada, Sendmail 8.13.8-8.1.el5_7, con filtro de correos entrantes smf-zombie, el cual consulta a CBL. Esto había estado funcionando bien hasta que el otro día noté un flujo extraño en /var/log/maillog, busqué en internet y me encontre con que la definición de backscatter calza con lo que me sucedía.
Busque soluciones, entre las que apliqué las siguientes:
* http://staff.ie.cuhk.edu.hk/~sfluk/wordpress/?p=1397 (solución que encontré en múltiples foros y se me imagina debe haber sido aplicada por alguien de la lista en su momento, pues en los copy-paste está un servidor mx.uchile.cl, esto me marca los correos, pero aun así salen muchos, quizás no lo supe aplicar bien).
* http://www.elandsys.com/scam/ (paró inmediatamente el envío de correos backscatter, pero también frenó las conexiones de clientes desde outlook y thunderbird, solamente envía desde webmail).
Encontré el link de sugerencia que publicaron en la u federico santa maría, pero ya esta roto (elqui.dcsc.utfsm.cl/util/email/backscatter.html), parece que estaba bastante bueno pues es citado en múltiples foros y blogs, pero no lo encontré en el cahce de google.
Estoy aproblemado, pues mientras tanto este servidor sigue enviando correos de rebote. Lamentablemente no puedo cambiar de sendmail a postfix (que tiene este problema documentado de forma oficial) dado a que son reacios a los cambios de software en las maquinas en producción y con clientes activos, por lo que necesito encontrar soluciones con lo que hay actualmente. ¿alguien ha logrado poner freno a este ataque en un servidor multidominio con características similares?, de ser así agradecería enormemente vuestra ayuda.
Archivo /etc/mail/sendmail.mc actual:
divert(-1)dnl
include(`/usr/share/sendmail-cf/m4/cf.m4')dnl
VERSIONID(`linux setup for Red Hat Linux')dnl
OSTYPE(`linux')dnl
define(`confDEF_USER_ID',``8:12'')dnl
define(`confTRUSTED_USER', `smmsp')dnl
define(`confTO_CONNECT', `1m')dnl
define(`confTRY_NULL_MX_LIST',true)dnl
define(`confDONT_PROBE_INTERFACES',true)dnl
define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')dnl
define(`ALIAS_FILE', `/etc/aliases')dnl
define(`UUCP_MAILER_MAX', `2000000')dnl
define(`confMAX_MESSAGE_SIZE',20971520)dnl
define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl
define(`confPRIVACY_FLAGS', `goaway')dnl
define(`confAUTH_OPTIONS', `A')dnl
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confTO_QUEUEWARN', `4h')dnl
define(`confTO_QUEUERETURN', `4d')dnl
define(`confREFUSE_LA', `60')dnl
define(`confTO_IDENT', `0')dnl
define(`confMAX_RCPTS_PER_MESSAGE', `50')dnl
FEATURE(`no_default_msa',`dnl')dnl
FEATURE(`smrsh',`/usr/sbin/smrsh')dnl
FEATURE(`mailertable',`hash -o /etc/mail/mailertable.db')dnl
FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable.db')dnl
FEATURE(redirect)dnl
FEATURE(always_add_domain)dnl
FEATURE(use_cw_file)dnl
FEATURE(use_ct_file)dnl
FEATURE(local_procmail,`',`procmail -t -Y -a $h -d $u')dnl
FEATURE(`access_db',`hash -T<TMPF> /etc/mail/access')dnl
FEATURE(`blacklist_recipients')dnl
define(`VIRTUSER_TABLE', `hash -o /etc/mail/virtusertable')dnl
VIRTUSER_DOMAIN_FILE(`/etc/mail/virtuserdomain')dnl
define(`confMILTER_MACROS_HELO', confMILTER_MACROS_HELO`, {verify}')dnl
define(`confMILTER_MACROS_ENVFROM', confMILTER_MACROS_ENVFROM`, {msg_size}')dnl
INPUT_MAIL_FILTER(`smf-zombie', `S=unix:/var/smfs/smf-zombie.sock, T=S:30s;R:1m')dnl
define(`confMILTER_MACROS_CONNECT', `j, {if_addr}')
define(`confMILTER_MACROS_HELO', `{verify}, {cert_subject}')
define(`confMILTER_MACROS_ENVFROM', `i, {auth_authen}')
define(`confMILTER_MACROS_ENVRCPT', `{greylist}')
FEATURE(`blacklist_recipients')dnl
EXPOSED_USER(`root')dnl
DAEMON_OPTIONS(`Name=MTA')dnl
DAEMON_OPTIONS(`Port=587, Name=MSA, M=E')dnl
LOCAL_DOMAIN(`localhost.localdomain')dnl
FEATURE(masquerade_entire_domain)dnl
MAILER(local)dnl
MAILER(smtp)dnl
MAILER(procmail)dnl
Cuando probé con scam-back agregué la linea
INPUT_MAIL_FILTER(`scam-back', `S=unix:/var/spool/scam/scam-back.sock, F=T, T=S:240s;R:240s;E:5m')dnl
sobre la INPUT_MAIL_FILTER de smf-zombie y bajo la de smf-zombie
define(`confINPUT_MAIL_FILTERS',`scam-back, smf-zombie')dnl
Este archivo ha sido muy manipulado por varias personas que han pasado por la empresa, no soy especialista en sendmail, pero me da la sensación que le quedó basura de configuraciones eliminadas y quizá eso genere problemas, pero no lo se, agradezco posibles correcciones e ideas nuevas, pues estoy enfrascado en esto hace una semana, he hecho pruebas sin lograr deshacerme del SPAM por backscatter.
Cordialmente y agradecido desde ya por su buena disposición,
Roy
Camilo Astete
Apr 24, 2013, 3:58:34 PM4/24/13
to Linux Chillán
Que tal Roy,
Que tal usar SPF, puede ser una solución, lo malo es que no todos los servidores de correos lo usan, yo he tenido unos cuantos problemas pero solucionables :DSaludos.
Roy Alvear
Jul 24, 2013, 3:50:23 PM7/24/13
to linuxc...@googlegroups.com
El 24/04/13 16:58, Camilo Astete escribió:
Son alternativas que tengo funcionando y andan bastante bien :)Lo otro ya con un poco mas de implementación es un maiclenar adelante del servidor de correos que filtre todo lo que entre al mail.Que tal Roy,Que tal usar SPF, puede ser una solución, lo malo es que no todos los servidores de correos lo usan, yo he tenido unos cuantos problemas pero solucionables :D
Saludos.
Los filtros entrantes son los INPUT_MAIL_FILTER, sin embargo no he
encontrado uno que funcione efectivamente con clientes outlook,
thunderbird y similares, en estos momentos estoy leyendo como crear
uno y sacarme el cacho de una buena vez (si me resulta) jejeje...
¿cual mailclenar tienes?
Saludos
¿cual mailclenar tienes?
Saludos
--
--
Participa en la Red de Trabajos de la ONG LinuxChillán http://www.linuxchillan.org/2009/10/20/red_trabajos_ong_linuxchillan
Talleres en Concepción http://talleres.opensur.org/
Varios escritorios se han incluido http://www.linuxchillan.org/categoria/escritorios Envía el tuyo a escritorio (screenshot, captura de pantalla, etc.) a escri...@linuxchillan.cl.
Músicos, participen en el concurso de RedPanal http://www.redpanal.com/concurso-software-libre.php
---
Has recibido este mensaje porque estás suscrito al grupo "LinuxChillan" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus correos electrónicos, envía un correo electrónico a linuxchillan...@googlegroups.com.
Para obtener más opciones, visita https://groups.google.com/groups/opt_out.
Reply all
Reply to author
Forward
0 new messages