Re: mucho spam sospechoso

[Juan Ignacio Ciriaco]

Hola yrojasa,

indudablemente el spammer conoce las direcciones o estan en alguna base de datos. Como no creo que sea facil salir de allí, lo ideal es poner alguna regla en el SpamAssassin que filtre por puntaje, o , en su defecto, si tenés acceso al server que te forwardea los correos, bloquees las IP entrantes al puerto 25 que coincida con las IP de donde proviene el spam, lo cual es realmente complejo.

Con respecto al SpamAssassin, sí veo que lo está reconociendo como SPAM, entonces enviándolo o marcándolo como spam, de acuerdo a la configuración que hayas asignado. Lo que podes modificar desde la consola, es que en lugar de identificarlo y marcarlo como spam, lo elimine, corriendo el riesgo de que se borre alguno que no lo sea.

Yo en principio intentaría toquetear el Spamassassin para incluir estas direcciones en la blacklist. Si eso no lo soluciona, firewall que limite conexiones de X providers...., y si así y todo no es viable, que se borren los correos.

Saludos!

Juan Ignacio

El 16 de marzo de 2011 11:47, yrojasa <yro...@gmail.com> escribió:

estimados desde hace ya varios dias estan llegando a las cuentas de
los usuarios muchos mensajes del tipo spam que provienen de los mismos
usuarios y a su vez se envian a otras listas tanto de fuera como
internas
estos correos generalmente ofrecen servicios de empleo o prometen
ganancias, tambien ofrecen medicamentos y otro tipode cosas.
adjunto el mensaje original, ojala puedan ayudarme a brindar
proteccion a mi server

gracias


Return-Path: mego...@xxxx.xx
Received: from XXX.XX.XXX.XX (LHLO titan.municoquimbo.cl)
(XXX.XX.XXX.XX) by
 titan.municoquimbo.cl with LMTP; Wed, 16 Mar 2011 10:12:24 -0400
(CLT)
Received: from localhost (localhost.localdomain [127.0.0.1])
       by xxxxx.xxxxxx.xx (Postfix) with ESMTP id EB6E17B40B06;
       Wed, 16 Mar 2011 10:12:23 -0400 (CLT)
X-Virus-Scanned: amavisd-new at
X-Spam-Flag: YES
X-Spam-Score: 11.407
X-Spam-Level: ***********
X-Spam-Status: Yes, score=11.407 tagged_above=-10 required=6.6
       tests=[BAYES_99=3.5, DNS_FROM_OPENWHOIS=1.13,
FH_DATE_PAST_20XX=3.188,
       HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.457, RCVD_IN_PBL=0.905,
       RDNS_NONE=0.1, SORTED_RECIPS=1.125, UNPARSEABLE_RELAY=0.001]
Received: from  xxxxx.xxxxxx.xxl ([127.0.0.1])
       by localhost ( xxxxx.xxxxxx.xx [127.0.0.1]) (amavisd-new, port 10024)
       with ESMTP id StBH2mgT73u4; Wed, 16 Mar 2011 10:12:19 -0400 (CLT)
Received: from [178.122.228.75] (unknown [178.122.228.75])
       by  xxxxx.xxxxxx.xx (Postfix) with ESMTP id B5F817B40985;
       Wed, 16 Mar 2011 10:12:17 -0400 (CLT)
Received: from  178.122.228.75 (account 0-2...@kingdeer.com.cn HELO
lqvmdyuk.hythlwkjmvibiea.org)
       by  (CommuniGate Pro SMTP 5.2.3)
       with ESMTPA id 954934608 for planificaci...@xxxx.xx; Wed, 16
Mar 2011 17:10:22 +0300
To: <planificaci...@xxxx.xx>,
       <ppo...@xxxx.xx>,
       <scont...@xxxx.xx>,
       <tal...@xxxx.xx>,
       <tcar...@xxxx.xx>,
       <vesp...@xxxx.xx>,
       <yro...@xxxx.xx>
Subject: ?Sabe usted que 80% de personas de su edad desean aumentar
sus ingresos? Le ofrecemos la solucion.
From: no-rep...@totaljobs.com
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Message-Id: <2011031614121...@nombredeserver.xxxx.xxl>
Date: Wed, 16 Mar 2011 10:12:17 -0400 (CLT)

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=unicode" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18939">
</HEAD>
<BODY>Ofrecimiento de cooperacion para los <b>Chile</b>.<br>

--
Has recibido este mensaje porque eres miembro de "zimbra grupo" de Google.
Si quieres publicar envía un mensaje de correo a zimbr...@googlegroups.com o entra en http://groups.google.es/group/zimbragrupo

Para anular la suscripción envía un mensaje a zimbragrupo...@googlegroups.com

--
Juan Ignacio Ciriaco
Movil: 221-572-7461

[E.G,]

Primero identifica cuales son las cuentas de correo que esta enviado correos sospechosos.

Luego busca en /var/log/zimbra.log todas las coincidencias de esas cuentas y verifica desde que IPs se están conectando y verifica su procedencia.

Yo acabo de verififcar si tienes alguna filtracion de Open relay y te cuento que al momento estas seguro. Lo mas probable que algun bicho te haya infectado alguna maquina, apoderándose de alguna cuenta de correo (estación de trabajo con outlook). y este haciendo mal uso del correo enviado correo localmente y para fuera.

pega los resultados de lo sugerido aqui...

Sl2

E.G.

[yrojasa]

busco en el log lo relacioando al return path  y me salio lo siguiente es bastante largo pero lo pego igual

Mar 13 13:03:14 titan postfix/smtpd[21683]: NOQUEUE: reject: RCPT from unknown[178.123.102.151]: 550 5.1.1 <mro...@municoquimbo.cl>: Recipient address rejected: municoquimbo.cl; from=<gonzalezm...@dhempresas.cl> to=<mro...@municoquimbo.cl> proto=ESMTP helo=<178.123.102.151.grodno.by>

Mar 13 13:03:15 titan postfix/smtpd[21683]: NOQUEUE: reject: RCPT from unknown[178.123.102.151]: 554 5.7.1 Service unavailable; Client host [178.123.102.151] blocked using cbl.abuseat.org; Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=178.123.102.151; from=<gonzalezm...@dhempresas.cl> to=<marlens...@municoquimbo.cl> proto=ESMTP helo=<178.123.102.151.grodno.by>

Mar 16 10:12:19 titan postfix/qmgr[4344]: B5F817B40985: from=<mego...@lanchile.cl>, size=2916, nrcpt=11 (queue active)
Mar 16 10:12:19 titan amavis[16692]: (16692-07) ESMTP::10024 /opt/zimbra/amavisd/tmp/amavis-20110316T100203-16692: <mego...@lanchile.cl> -> <planificaci...@municoquimbo.cl>,<ppo...@municoquimbo.cl>,<pre...@municoquimbo.cl>,<sa...@municoquimbo.cl>,<scont...@municoquimbo.cl>,<sec...@municoquimbo.cl>,<tal...@municoquimbo.cl>,<tcar...@municoquimbo.cl>,<tran...@municoquimbo.cl>,<vesp...@municoquimbo.cl>,<yro...@municoquimbo.cl> SIZE=2916 BODY=7BIT Received: from titan.municoquimbo.cl ([127.0.0.1]) by localhost (titan.municoquimbo.cl [127.0.0.1]) (amavisd-new, port 10024) with ESMTP; Wed, 16 Mar 2011 10:12:19 -0400 (CLT)

Mar 16 10:12:19 titan amavis[16692]: (16692-07) Checking: StBH2mgT73u4 [178.122.228.75] <mego...@lanchile.cl> -> <planificaci...@municoquimbo.cl>,<ppo...@municoquimbo.cl>,<pre...@municoquimbo.cl>,<sa...@municoquimbo.cl>,<scont...@municoquimbo.cl>,<sec...@municoquimbo.cl>,<tal...@municoquimbo.cl>,<tcar...@municoquimbo.cl>,<tran...@municoquimbo.cl>,<vesp...@municoquimbo.cl>,<yro...@municoquimbo.cl>

Mar 16 10:12:24 titan postfix/qmgr[4344]: EB6E17B40B06: from=<mego...@lanchile.cl>, size=3644, nrcpt=11 (queue active)
Mar 16 10:12:24 titan amavis[16692]: (16692-07) FWD via SMTP: <mego...@lanchile.cl> -> <planificaci...@municoquimbo.cl>,<ppo...@municoquimbo.cl>,<pre...@municoquimbo.cl>,<sa...@municoquimbo.cl>,<scont...@municoquimbo.cl>,<sec...@municoquimbo.cl>,<tal...@municoquimbo.cl>,<tcar...@municoquimbo.cl>,<tran...@municoquimbo.cl>,<vesp...@municoquimbo.cl>,<yro...@municoquimbo.cl>,BODY=7BIT 250 2.6.0 Ok, id=16692-07, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as EB6E17B40B06

Mar 16 10:12:24 titan amavis[16692]: (16692-07) Passed SPAMMY, [178.122.228.75] [178.122.228.75] <mego...@lanchile.cl> -> <planificaci...@municoquimbo.cl>,<ppo...@municoquimbo.cl>,<pre...@municoquimbo.cl>,<sa...@municoquimbo.cl>,<scont...@municoquimbo.cl>,<sec...@municoquimbo.cl>,<tal...@municoquimbo.cl>,<tcar...@municoquimbo.cl>,<tran...@municoquimbo.cl>,<vesp...@municoquimbo.cl>,<yro...@municoquimbo.cl>, Message-ID: <2011031614121...@titan.municoquimbo.cl>, mail_id: StBH2mgT73u4, Hits: 11.407, size: 2912, queued_as: EB6E17B40B06, 4848 ms

Mar 16 11:19:42 titan amavis[24878]: (24878-05) ESMTP::10024 /opt/zimbra/amavisd/tmp/amavis-20110316T111026-24878: <imu...@municoquimbo.cl> -> <megon...@conafe.cl> SIZE=1857 Received: from titan.municoquimbo.cl ([127.0.0.1]) by localhost (titan.municoquimbo.cl [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <megon...@conafe.cl>; Wed, 16 Mar 2011 11:19:42 -0400 (CLT)

Mar 16 11:19:42 titan amavis[24878]: (24878-05) Checking: WaNTyr6zxwul [192.168.0.159] <imu...@municoquimbo.cl> -> <megon...@conafe.cl>

Mar 16 11:19:42 titan amavis[24878]: (24878-05) FWD via SMTP: <imu...@municoquimbo.cl> -> <megon...@conafe.cl>,BODY=7BIT 250 2.6.0 Ok, id=24878-05, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8CA4E7B4206E

Mar 16 11:19:42 titan amavis[24878]: (24878-05) Passed CLEAN, LOCAL [192.168.0.159] [192.168.0.159] <imu...@municoquimbo.cl> -> <megon...@conafe.cl>, Message-ID: <13638650.77441300288...@titan.municoquimbo.cl>, mail_id: WaNTyr6zxwul, Hits: 3.844, size: 1857, queued_as: 8CA4E7B4206E, 315 ms

Mar 16 11:19:42 titan postfix/smtp[25954]: 3F5107B40DA9: to=<megon...@conafe.cl>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.36, delays=0.04/0/0/0.32, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 8CA4E7B4206E)

Mar 16 11:19:43 titan postfix/smtp[25793]: 8CA4E7B4206E: to=<megon...@conafe.cl>, relay=mailrelay.conafe.cl[200.27.58.75]:25, delay=0.49, delays=0.02/0/0.42/0.04, dsn=2.0.0, status=sent (250 ok:  Message 3108785 accepted)

Mar 16 11:24:21 titan amavis[24878]: (24878-10) ESMTP::10024 /opt/zimbra/amavisd/tmp/amavis-20110316T111026-24878: <imu...@municoquimbo.cl> -> <megon...@conafe.cl> SIZE=977 Received: from titan.municoquimbo.cl ([127.0.0.1]) by localhost (titan.municoquimbo.cl [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <megon...@conafe.cl>; Wed, 16 Mar 2011 11:24:21 -0400 (CLT)

Mar 16 11:24:21 titan amavis[24878]: (24878-10) Checking: fL466ZDxPtCR [192.168.0.159] <imu...@municoquimbo.cl> -> <megon...@conafe.cl>

Mar 16 11:24:22 titan amavis[24878]: (24878-10) FWD via SMTP: <imu...@municoquimbo.cl> -> <megon...@conafe.cl>,BODY=7BIT 250 2.6.0 Ok, id=24878-10, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 1A3737B4203B

Mar 16 11:24:22 titan amavis[24878]: (24878-10) Passed CLEAN, LOCAL [192.168.0.159] [192.168.0.159] <imu...@municoquimbo.cl> -> <megon...@conafe.cl>, Message-ID: <26258994.77811300289...@titan.municoquimbo.cl>, mail_id: fL466ZDxPtCR, Hits: 3.846, size: 977, queued_as: 1A3737B4203B, 562 ms

Mar 16 11:24:22 titan postfix/smtp[25954]: A0D077B40DA9: to=<megon...@conafe.cl>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.61, delays=0.04/0/0/0.56, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 1A3737B4203B)

Mar 16 11:24:22 titan postfix/smtp[26809]: 1A3737B4203B: to=<megon...@conafe.cl>, relay=mailrelay.conafe.cl[200.27.58.75]:25, delay=0.28, delays=0.13/0.01/0.07/0.06, dsn=2.0.0, status=sent (250 ok:  Message 3108989 accepted)

[E.G,]

Me puedes decir cual es el usuario sospechoso. O mas bien desde que correo se estan emitiendo los correos Spam sospechoso?

E.G.n

2011/3/16 yrojasa <yro...@gmail.com>

[yrojasa]

uf son varios...
imaginate que desmi cuenta que es yrojas he recibido correos de mi misma cuenta ofreciendo empleo, viagra, etc.

tambien he visto que hay cuantas que ya no existen en el server y se envian.

2011/3/16 E.G, <esmo...@gmail.com>

[yrojasa]

Received: from xxxxx.xxxxxx.xxl ([127.0.0.1])
by localhost ( xxxxx.xxxxxx.xx [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id StBH2mgT73u4; Wed, 16 Mar 2011 10:12:19 -0400 (CLT)

[ÆxF]

Yo lo solucione en parte a listas negras, y la otra parte mediante a que usamos una cuenta que captura todo el mail enviado y recibido(aut empresa) Luego en esa misma cuenta busque todo el spam y lo tire a carpeta spam para que el aprendizaje nocturno lo analizara y reconociera. Te cuento quw con eso logre parar el 95% de ese tipo de spam de cuentas internas. Y asi con el resto de spam. Yo zimbra 6.x