Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Ataque a servidor smtp
268 views
Skip to first unread message
Victor H De la Luz
Feb 25, 2012, 3:50:01 AM2/25/12
to
Saludos!
Hola lista, aunque tengo muchos años trabajando en debian, hace poco
instale mi primer servidor smtp para envio de correos, la
configuración practicamente la deje intacta, pues apenas estaba
comenzando a experimentar. No se del tema, es mi primera experiencia.
Hace unos minutos recibi un mensaje de mi host indicandome que habian
detenido mi sistema de envios ya que habia sobrepasado mi limite.
Inmediatamente di de baja los puertos del smtp y revise los logs, me
encontre con esto (logicamente borre mi ip)
Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
bytes=85/682
Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Feb 25 08:21:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
bytes=85/682
Feb 25 08:22:10 ip- dovecot: imap-login: Login: user=<contacto>,
method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Feb 25 08:22:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
bytes=85/682
Feb 25 08:23:11 ip- dovecot: imap-login: Login: user=<contacto>,
method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, s
No se ni por donde empezar o que deba hacer. Necesito algo de
orientacion: ¿Como puedo saber si es un script dentro de mi sistema o
es un ataque desde fuera? ¿Como podria saber que fue lo que fallo o
como puedo asegurar mi servidor smtp?
De antemano muchas gracias!
--
ItZtLi
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/CAOhBeuK4+WMLj5SDF3gPHU5K...@mail.gmail.com
Hola lista, aunque tengo muchos años trabajando en debian, hace poco
instale mi primer servidor smtp para envio de correos, la
configuración practicamente la deje intacta, pues apenas estaba
comenzando a experimentar. No se del tema, es mi primera experiencia.
Hace unos minutos recibi un mensaje de mi host indicandome que habian
detenido mi sistema de envios ya que habia sobrepasado mi limite.
Inmediatamente di de baja los puertos del smtp y revise los logs, me
encontre con esto (logicamente borre mi ip)
Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
bytes=85/682
Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Feb 25 08:21:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
bytes=85/682
Feb 25 08:22:10 ip- dovecot: imap-login: Login: user=<contacto>,
method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Feb 25 08:22:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
bytes=85/682
Feb 25 08:23:11 ip- dovecot: imap-login: Login: user=<contacto>,
method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, s
No se ni por donde empezar o que deba hacer. Necesito algo de
orientacion: ¿Como puedo saber si es un script dentro de mi sistema o
es un ataque desde fuera? ¿Como podria saber que fue lo que fallo o
como puedo asegurar mi servidor smtp?
De antemano muchas gracias!
--
ItZtLi
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/CAOhBeuK4+WMLj5SDF3gPHU5K...@mail.gmail.com
Fabián Bonetti
Feb 25, 2012, 4:10:01 AM2/25/12
to
On Sat, 25 Feb 2012 02:41:25 -0600
Victor H De la Luz <itz...@gmail.com> wrote:
La misma ip puede mandar 50 mail por dia a Yahoo, Hotmail, Gmail.
Creo que en lapsos de no menores a 15 minutos. O ellos con sus sistemas antispam
detectan y te cortara la conexión con tu ip por algunas horas a veces dias.
Trata de desbloquear tu ip http://www.spamhaus.org/lookup.lasso poniéndola en verde
habría que ver que usas para envío y con que configuración te manejas.
--
Voip Mumble (soft libre) :. http://mumble.com.ar
Web Hosting :. http://mamalibre.com.ar
Red Social :. http://legadolibre.com.ar
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/20120225060604.c758...@yahoo.com.ar
Victor H De la Luz <itz...@gmail.com> wrote:
La misma ip puede mandar 50 mail por dia a Yahoo, Hotmail, Gmail.
Creo que en lapsos de no menores a 15 minutos. O ellos con sus sistemas antispam
detectan y te cortara la conexión con tu ip por algunas horas a veces dias.
Trata de desbloquear tu ip http://www.spamhaus.org/lookup.lasso poniéndola en verde
habría que ver que usas para envío y con que configuración te manejas.
--
Voip Mumble (soft libre) :. http://mumble.com.ar
Web Hosting :. http://mamalibre.com.ar
Red Social :. http://legadolibre.com.ar
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Victor H De la Luz
Feb 25, 2012, 4:20:02 AM2/25/12
to
2012/2/25 Fabián Bonetti <mama21m...@yahoo.com.ar>:
Revise en el FAQ de mi hosting (AWS de amazon) y una de las razones
por las que bloquean el servicio es por
"We have seen some instances where port scanning that hits port 25 has
triggered the e-mail limit notification, which is usually the case
when customers aren't sending e-mail from their EC2 instance"
que creo es lo que esta pasando, ¿hay alguna forma de prevenirlo?
Por cierto no estoy en ninguna blacklist (gracias por el dato), estoy
usando dovecot (smtp, pop3) en la version estable de debian y como te
comentaba la configuracion practicamente es la de base.
Instale SquirrelMail para revisar los mails via web.
--
ItZtLi
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/CAOhBeu+8GUnBUVAfLypHxaaD...@mail.gmail.com
> On Sat, 25 Feb 2012 02:41:25 -0600
> Victor H De la Luz <itz...@gmail.com> wrote:
>
> La misma ip puede mandar 50 mail por dia a Yahoo, Hotmail, Gmail.
>
> Creo que en lapsos de no menores a 15 minutos. O ellos con sus sistemas antispam
>
> detectan y te cortara la conexión con tu ip por algunas horas a veces dias.
>
> Trata de desbloquear tu ip http://www.spamhaus.org/lookup.lasso poniéndola en verde
>
> habría que ver que usas para envío y con que configuración te manejas.
>
Gracias por tu respuesta!!, una pregunta, ¿es normal el log que envie?
> Victor H De la Luz <itz...@gmail.com> wrote:
>
> La misma ip puede mandar 50 mail por dia a Yahoo, Hotmail, Gmail.
>
> Creo que en lapsos de no menores a 15 minutos. O ellos con sus sistemas antispam
>
> detectan y te cortara la conexión con tu ip por algunas horas a veces dias.
>
> Trata de desbloquear tu ip http://www.spamhaus.org/lookup.lasso poniéndola en verde
>
> habría que ver que usas para envío y con que configuración te manejas.
>
Revise en el FAQ de mi hosting (AWS de amazon) y una de las razones
por las que bloquean el servicio es por
"We have seen some instances where port scanning that hits port 25 has
triggered the e-mail limit notification, which is usually the case
when customers aren't sending e-mail from their EC2 instance"
que creo es lo que esta pasando, ¿hay alguna forma de prevenirlo?
Por cierto no estoy en ninguna blacklist (gracias por el dato), estoy
usando dovecot (smtp, pop3) en la version estable de debian y como te
comentaba la configuracion practicamente es la de base.
Instale SquirrelMail para revisar los mails via web.
--
ItZtLi
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Fabián Bonetti
Feb 25, 2012, 4:40:01 AM2/25/12
to
On Sat, 25 Feb 2012 03:18:49 -0600
Victor H De la Luz <itz...@gmail.com> wrote:
> We have seen some instances where port scanning that hits port 25 has
> triggered the e-mail limit notification, which is usually the case
> when customers aren't sending e-mail from their EC2 instance
Creo por lo que dice allí, alcanzaste el limite.
Victor H De la Luz <itz...@gmail.com> wrote:
> We have seen some instances where port scanning that hits port 25 has
> triggered the e-mail limit notification, which is usually the case
> when customers aren't sending e-mail from their EC2 instance
El problema es que no debe sobrepasar el envío de 50mail en menos de un x tiempo. (fuera de EC2)
Tal vez ellos tengan otra política.
Trata de usar queue (cola de envío) y usar una buena configuración allí.
Para no sobrepasar el limite en x tiempo.
--
Voip Mumble (soft libre) :. http://mumble.com.ar
Web Hosting :. http://mamalibre.com.ar
Red Social :. http://legadolibre.com.ar
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/20120225062954.4604...@yahoo.com.ar
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Camaleón
Feb 25, 2012, 1:10:01 PM2/25/12
to
El Sat, 25 Feb 2012 02:41:25 -0600, Victor H De la Luz escribió:
> Hola lista, aunque tengo muchos años trabajando en debian, hace poco
> instale mi primer servidor smtp para envio de correos, la configuración
> practicamente la deje intacta, pues apenas estaba comenzando a
> experimentar. No se del tema, es mi primera experiencia. Hace unos
> minutos recibi un mensaje de mi host indicandome que habian detenido mi
> sistema de envios ya que habia sobrepasado mi limite.
¿Estás seguro que el mensaje era verídico? Cuidadín con ese tipo de
> Hola lista, aunque tengo muchos años trabajando en debian, hace poco
> instale mi primer servidor smtp para envio de correos, la configuración
> practicamente la deje intacta, pues apenas estaba comenzando a
> experimentar. No se del tema, es mi primera experiencia. Hace unos
> minutos recibi un mensaje de mi host indicandome que habian detenido mi
> sistema de envios ya que habia sobrepasado mi limite.
mensajes que suelen ser de spam/scam :-/
> Inmediatamente di de baja los puertos del smtp y revise los logs, me
> encontre con esto (logicamente borre mi ip)
>
> Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Bueno, a ver... esos son registros de intentos de inicios de sesión a tu
servidor IMAP (143/993), nada que ver con el servidor smtp (25/587).
Me parece que vas a tener que investigar más, por ejemplo ¿el usuario
"contacto" existe (está dado de alta) en Dovecot? ¿El origen del intento
de conexión viene de una IP local o remota? No conozco Dovecot, pero esos
valores de "rip" y "lip "apuntan a una conexión generada desde el propio
servidor.
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Marc Aymerich
Feb 25, 2012, 1:30:02 PM2/25/12
to
2012/2/25 Camaleón <noel...@gmail.com>:
e indican que el usuario contacto se ha logeado correctamente, y no
solo eso sino que se ha bajado correo (bytes). Por otro lado rip i lip
significan respectivamente, remote ip y local ip, con lo que el
usuario contacto se connecta des de un cliente instalado en localhost.
Para terminar y por si no esta claro, los supuestos mails que envia tu
servidor no tienen nada que ver con estas lineas del log ya que hasta
donde yo se el protocolo IMAP no permite enviar correo.
Coincido con camaleon en que el motivo está en otro lado :)
--
Marc
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/CA+DCN_t6D0RC2KneDRwBdRT-...@mail.gmail.com
> El Sat, 25 Feb 2012 02:41:25 -0600, Victor H De la Luz escribió:
>
>> Hola lista, aunque tengo muchos años trabajando en debian, hace poco
>> instale mi primer servidor smtp para envio de correos, la configuración
>> practicamente la deje intacta, pues apenas estaba comenzando a
>> experimentar. No se del tema, es mi primera experiencia. Hace unos
>> minutos recibi un mensaje de mi host indicandome que habian detenido mi
>> sistema de envios ya que habia sobrepasado mi limite.
>
> ¿Estás seguro que el mensaje era verídico? Cuidadín con ese tipo de
> mensajes que suelen ser de spam/scam :-/
>
>> Inmediatamente di de baja los puertos del smtp y revise los logs, me
>> encontre con esto (logicamente borre mi ip)
>>
>> Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
>> bytes=85/682
>> Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
>> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
>
> (...)
>
> Bueno, a ver... esos son registros de intentos de inicios de sesión a tu
> servidor IMAP (143/993), nada que ver con el servidor smtp (25/587).
>
> Me parece que vas a tener que investigar más, por ejemplo ¿el usuario
> "contacto" existe (está dado de alta) en Dovecot? ¿El origen del intento
> de conexión viene de una IP local o remota? No conozco Dovecot, pero esos
> valores de "rip" y "lip "apuntan a una conexión generada desde el propio
> servidor.
>
Ciertamente como apunta Camaleon esos registros son del servidor IMAP
>
>> Hola lista, aunque tengo muchos años trabajando en debian, hace poco
>> instale mi primer servidor smtp para envio de correos, la configuración
>> practicamente la deje intacta, pues apenas estaba comenzando a
>> experimentar. No se del tema, es mi primera experiencia. Hace unos
>> minutos recibi un mensaje de mi host indicandome que habian detenido mi
>> sistema de envios ya que habia sobrepasado mi limite.
>
> ¿Estás seguro que el mensaje era verídico? Cuidadín con ese tipo de
> mensajes que suelen ser de spam/scam :-/
>
>> Inmediatamente di de baja los puertos del smtp y revise los logs, me
>> encontre con esto (logicamente borre mi ip)
>>
>> Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
>> bytes=85/682
>> Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
>> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
>
> (...)
>
> Bueno, a ver... esos son registros de intentos de inicios de sesión a tu
> servidor IMAP (143/993), nada que ver con el servidor smtp (25/587).
>
> Me parece que vas a tener que investigar más, por ejemplo ¿el usuario
> "contacto" existe (está dado de alta) en Dovecot? ¿El origen del intento
> de conexión viene de una IP local o remota? No conozco Dovecot, pero esos
> valores de "rip" y "lip "apuntan a una conexión generada desde el propio
> servidor.
>
e indican que el usuario contacto se ha logeado correctamente, y no
solo eso sino que se ha bajado correo (bytes). Por otro lado rip i lip
significan respectivamente, remote ip y local ip, con lo que el
usuario contacto se connecta des de un cliente instalado en localhost.
Para terminar y por si no esta claro, los supuestos mails que envia tu
servidor no tienen nada que ver con estas lineas del log ya que hasta
donde yo se el protocolo IMAP no permite enviar correo.
Coincido con camaleon en que el motivo está en otro lado :)
--
Marc
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Carlos Miranda Molina (Mstaaravin)
Feb 25, 2012, 7:40:02 PM2/25/12
to
2012/2/25 Victor H De la Luz <itz...@gmail.com>:
instalado en tu servidor, dado que el acceso al server IMAP lo hace
Apache/nginx, etc siempre vas a ver 127.0.0.1.
Es perfectamente normal, tener ese tipo de logs.
Lo que sí pueden estar haciendo es un ataque de fuerza bruta sobre el
Squirrelmail (de alli el lapso tan corto de tiempo entre los inicios
de sesion) deberías protegerlo con fail2ban.
Saludos
--
"La Voluntad es el único motor de nuestros logros"
http://ngen.com.ar/blog
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/CACJp8-prK0Yc5UKLN1mOzbKK...@mail.gmail.com
> Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
> Feb 25 08:21:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:22:10 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
> Feb 25 08:22:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:23:11 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, s
>
> No se ni por donde empezar o que deba hacer. Necesito algo de
> orientacion: ¿Como puedo saber si es un script dentro de mi sistema o
> es un ataque desde fuera? ¿Como podria saber que fue lo que fallo o
> como puedo asegurar mi servidor smtp?
Esos logs los ves cuando tienes un webmail (like Squirrelmail)
> bytes=85/682
> Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
> Feb 25 08:21:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:22:10 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
> Feb 25 08:22:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:23:11 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, s
>
> No se ni por donde empezar o que deba hacer. Necesito algo de
> orientacion: ¿Como puedo saber si es un script dentro de mi sistema o
> es un ataque desde fuera? ¿Como podria saber que fue lo que fallo o
> como puedo asegurar mi servidor smtp?
instalado en tu servidor, dado que el acceso al server IMAP lo hace
Apache/nginx, etc siempre vas a ver 127.0.0.1.
Es perfectamente normal, tener ese tipo de logs.
Lo que sí pueden estar haciendo es un ataque de fuerza bruta sobre el
Squirrelmail (de alli el lapso tan corto de tiempo entre los inicios
de sesion) deberías protegerlo con fail2ban.
Saludos
--
"La Voluntad es el único motor de nuestros logros"
http://ngen.com.ar/blog
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Victor H De la Luz
Feb 25, 2012, 11:10:01 PM2/25/12
to
2012/2/25 Carlos Miranda Molina (Mstaaravin) <mstaa...@gmail.com>:
ok, es lo que sospechaba, por eso mi hosting envio la alerta, estoy
instalando fail2ban, se ve muy bien, es justo lo que necesito, muchas
gracias! Despues envio mas informacion sobre lo que resulte.
--
ItZtLi
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/CAOhBeu+iXT9i8fAvPcgv8gJb...@mail.gmail.com
instalando fail2ban, se ve muy bien, es justo lo que necesito, muchas
gracias! Despues envio mas informacion sobre lo que resulte.
--
ItZtLi
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
0 new messages