Proteger servidor de SPAM
860 views
Skip to first unread message
raul raul
Aug 5, 2010, 5:53:18 AM8/5/10
to zimbra grupo
Hola
Antes de nada agradecer a este foro, me ha servidor de mucha utilidad
en la configuración del servidor de correo. Soy nuevo en este mundo de
linux y zimbra y espero que me puedan orientar sobre unas dudas que
tengo.
He instalado en un servidor Ubuntu 8.04 LTS Server 64bits con Zimbra
version 6.0.7_GA_2473.UBUNTU8_64. El servidor ha funcionado
correctamente durante un mes, pero el lunes utilizarón mi servidor de
correo para envio de spam, dejandolo bloqueado y bloqueandome el envio
de correo a hotmail, gmail, yahoo y algunos algunos dominios mas. La
verdad es que no se como lo consiguieron, habia comprobado que tenia
el relay denegado.
El servidor de correo la tengo en una DMZ (10.100.100.0/24), y tengo
varias subredes LAN (192.168.0.0/16) que acceder al servidor a traves
de un NAT que tengo hecho en el firewall, solo podiendo acceder a los
puertos 25,110,143,80,443.
En el servidor tengo configurado en el apartado Servidores\Servidor
MTA: 127.0.0.0/8 10.100.100.25/32 y he añadido una RBL (sbl-xbl
spamhaus.org) que esta funcionando correctamente.
Donde ya me pierdo es el tema de las IPTables, he añadido estas reglas
iptables -A INPUT -p tcp --dport 5022 -j ACCEPT
iptables -A INPUT -p tcp --dport 161 -j ACCEPT -s 10.100.100.0/24
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT -s 192.168.0.0/16
iptables -A INPUT -p tcp --dport 143 -j ACCEPT -s 192.168.0.0/16
iptables -A INPUT -p tcp --dport 389 -j ACCEPT -s 10.100.100.0/24
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --dport 7075 -j ACCEPT -s 10.100.100.0/24
iptables -A INPUT -p tcp --dport 7071 -j ACCEPT
¿Con esto seria suficiente?¿Me recomendaríais algun regla mas, o
añadir algun cambio en la configuración?. He mirado en el
wiki.zimbra.com sobre la configuración que trae para Red Hat pero me
pierdo, no se como pasarlo a Ubuntu, seguire mirando googleando sobre
este tema
Todo los dias me mandan un correo con las estadisiticas del dia y algo
que me tiene preocupado.
top 50 Senders by message count
-------------------------------
19 from=<>
10 ger..at@midominio.com
6 bo..ce2@e..02.net
6 g..sa@midominio.com
6 g..es@midominio.com
6 o..a@midominio.com
6 p..da@midominio.com
4 b..a@k..xa.es
4 f...ier.perez@s...es
4 a..n@midominio.com
4 a...ui@midominio.com
2 cx...@ip-92-60-17-196.net.abissnet.al
2 tesou...@ernandesadvogados.com.br
2 j...ga@ab..itaciones.com
2 a..n@a...ra.com
2 prvs=783317fd26=xtamayo@b..ui.com
2 azt...@bellafigura.com
2 sympo...@bellafigura.com
2 soc...@n.buyvip.com
2
ksh86zldbhv45xgvd3encqk5nej2cy...@b.emstechno-
ecm.com
2
mh3vbn6cvpc36x3hh9klr9677zq7ea...@b.emstechno-
ecm.com
2
vddxazpgdaus7k2q8r3jlq35yabcw5...@b.emstechno-
ecm.com
2 pen...@freedownloadscenter.com
2 aar...@gailur.com
2 kar..ula_zu@gallifreyone.com
2 mhill...@gbnet.com
2 s.jo...@j-rautobodysupply.com
2 barry...@loveable.com
2 taw..essie_cz@metlife.com
2 in...@ofertas.miguiashopping.com
2 dissen...@nicetourisme.com
2 newsl...@novedadesesdemarca.com
2 vince_...@peoplepc.com
2 in...@news.privateoutlet.com
2 qokaweo...@prtcnet.com
2 en...@pbm4.publiemails.com
2 mic...@smart.com
2 mail...@venteprivee.com
2 Co..et@yahoo.com
2 digitalm...@msg.zinio.com
2 vernie_t...@zionsbank.com
Aparece gente que no es de mi dominio, direccion de correo de clientes
y otras que no se quienes son.¿Me estan haciendo spam otra vez?
Ya puedo enviar correos a cuentas hotmail,(gracias a la pagina de
Amperis) pero gmail me tiene todavia bloqueado.¿Sabria alguien decirme
como salir de su lista negra?
Muchas gracias
Raul
Antes de nada agradecer a este foro, me ha servidor de mucha utilidad
en la configuración del servidor de correo. Soy nuevo en este mundo de
linux y zimbra y espero que me puedan orientar sobre unas dudas que
tengo.
He instalado en un servidor Ubuntu 8.04 LTS Server 64bits con Zimbra
version 6.0.7_GA_2473.UBUNTU8_64. El servidor ha funcionado
correctamente durante un mes, pero el lunes utilizarón mi servidor de
correo para envio de spam, dejandolo bloqueado y bloqueandome el envio
de correo a hotmail, gmail, yahoo y algunos algunos dominios mas. La
verdad es que no se como lo consiguieron, habia comprobado que tenia
el relay denegado.
El servidor de correo la tengo en una DMZ (10.100.100.0/24), y tengo
varias subredes LAN (192.168.0.0/16) que acceder al servidor a traves
de un NAT que tengo hecho en el firewall, solo podiendo acceder a los
puertos 25,110,143,80,443.
En el servidor tengo configurado en el apartado Servidores\Servidor
MTA: 127.0.0.0/8 10.100.100.25/32 y he añadido una RBL (sbl-xbl
spamhaus.org) que esta funcionando correctamente.
Donde ya me pierdo es el tema de las IPTables, he añadido estas reglas
iptables -A INPUT -p tcp --dport 5022 -j ACCEPT
iptables -A INPUT -p tcp --dport 161 -j ACCEPT -s 10.100.100.0/24
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT -s 192.168.0.0/16
iptables -A INPUT -p tcp --dport 143 -j ACCEPT -s 192.168.0.0/16
iptables -A INPUT -p tcp --dport 389 -j ACCEPT -s 10.100.100.0/24
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --dport 7075 -j ACCEPT -s 10.100.100.0/24
iptables -A INPUT -p tcp --dport 7071 -j ACCEPT
¿Con esto seria suficiente?¿Me recomendaríais algun regla mas, o
añadir algun cambio en la configuración?. He mirado en el
wiki.zimbra.com sobre la configuración que trae para Red Hat pero me
pierdo, no se como pasarlo a Ubuntu, seguire mirando googleando sobre
este tema
Todo los dias me mandan un correo con las estadisiticas del dia y algo
que me tiene preocupado.
top 50 Senders by message count
-------------------------------
19 from=<>
10 ger..at@midominio.com
6 bo..ce2@e..02.net
6 g..sa@midominio.com
6 g..es@midominio.com
6 o..a@midominio.com
6 p..da@midominio.com
4 b..a@k..xa.es
4 f...ier.perez@s...es
4 a..n@midominio.com
4 a...ui@midominio.com
2 cx...@ip-92-60-17-196.net.abissnet.al
2 tesou...@ernandesadvogados.com.br
2 j...ga@ab..itaciones.com
2 a..n@a...ra.com
2 prvs=783317fd26=xtamayo@b..ui.com
2 azt...@bellafigura.com
2 sympo...@bellafigura.com
2 soc...@n.buyvip.com
2
ksh86zldbhv45xgvd3encqk5nej2cy...@b.emstechno-
ecm.com
2
mh3vbn6cvpc36x3hh9klr9677zq7ea...@b.emstechno-
ecm.com
2
vddxazpgdaus7k2q8r3jlq35yabcw5...@b.emstechno-
ecm.com
2 pen...@freedownloadscenter.com
2 aar...@gailur.com
2 kar..ula_zu@gallifreyone.com
2 mhill...@gbnet.com
2 s.jo...@j-rautobodysupply.com
2 barry...@loveable.com
2 taw..essie_cz@metlife.com
2 in...@ofertas.miguiashopping.com
2 dissen...@nicetourisme.com
2 newsl...@novedadesesdemarca.com
2 vince_...@peoplepc.com
2 in...@news.privateoutlet.com
2 qokaweo...@prtcnet.com
2 en...@pbm4.publiemails.com
2 mic...@smart.com
2 mail...@venteprivee.com
2 Co..et@yahoo.com
2 digitalm...@msg.zinio.com
2 vernie_t...@zionsbank.com
Aparece gente que no es de mi dominio, direccion de correo de clientes
y otras que no se quienes son.¿Me estan haciendo spam otra vez?
Ya puedo enviar correos a cuentas hotmail,(gracias a la pagina de
Amperis) pero gmail me tiene todavia bloqueado.¿Sabria alguien decirme
como salir de su lista negra?
Muchas gracias
Raul
Washo
Aug 5, 2010, 10:49:11 AM8/5/10
to zimbra grupo
Hola,
Por lo que veo, podrían ser dos problemas:
Primero, que la ip pública de tu servidor este en alguna lista de
spam. Lo puedes comprobar utilizando este enlace:
http://www.anti-abuse.org/.
Segundo, la causa de que te hayan añadido a una lista de spam, podría
ser por algún equipo de tu red que tenga algún virus, yo vigilaría a
los equipos que hayan enviado estos correos:
ksh86zldbhv45xgvd3encqk5nej2cyqprt9lky875lfs7luxpsaex42-1I...@b.emstechno-
ecm.com
porque parecen un poco sospechosos.
No obstante la cantidad de correos enviados es muy baja para que
alguna lista de spam te haya añadido por esa causa, quizás algún
equipo fuese atrapado por alguna honeypot (http://en.wikipedia.org/
wiki/Honeypot_%28computing%29). O esos equipos puedan enviar correo
directamente sin utilizar el servidor (¿tienen los equipos de tu red
permiso para llegar a servidores de correo externos directamente?)
Saludos.
> 10 ger....@midominio.com
> 6 bo..ce2@e..02.net
> 6 g....@midominio.com
> 6 g....@midominio.com
> 6 o...@midominio.com
> 6 p....@midominio.com
> 4 b..a@k..xa.es
> 4 f...ier.perez@s...es
> 4 a...@midominio.com
> 4 a.....@midominio.com
> 2 c...@ip-92-60-17-196.net.abissnet.al
> 2 tesoura...@ernandesadvogados.com.br
> 2 azte...@bellafigura.com
> 2 symposiu...@bellafigura.com
> 2 soc...@n.buyvip.com
> 2
> ksh86zldbhv45xgvd3encqk5nej2cyqprt9lky875lfs7luxpsaex42-1I...@b.emstechno-
> ecm.com
> 2
> mh3vbn6cvpc36x3hh9klr9677zq7eanq243pfupskz3rzm6q7lk8c72-1I...@b.emstechno-
> ecm.com
> 2
> vddxazpgdaus7k2q8r3jlq35yabcw5ynbe4nrw337n53wjfy397qnpa-1I...@b.emstechno-
> ecm.com
> 2 penn...@freedownloadscenter.com
> 2 aart...@gailur.com
> 2 kar..ula...@gallifreyone.com
> 2 mhillary...@gbnet.com
> 2 s.jodi...@j-rautobodysupply.com
> 2 barry.bl...@loveable.com
> 2 taw..essie...@metlife.com
> 2 i...@ofertas.miguiashopping.com
> 2 dissensio...@nicetourisme.com
> 2 newslet...@novedadesesdemarca.com
> 2 vince_wag...@peoplepc.com
> 2 i...@news.privateoutlet.com
> 2 qokaweoizo3...@prtcnet.com
> 2 e...@pbm4.publiemails.com
> 2 mica...@smart.com
> 2 mailin...@venteprivee.com
> 2 Co....@yahoo.com
> 2 digitalmagazi...@msg.zinio.com
> 2 vernie_tblanch...@zionsbank.com
Por lo que veo, podrían ser dos problemas:
Primero, que la ip pública de tu servidor este en alguna lista de
spam. Lo puedes comprobar utilizando este enlace:
http://www.anti-abuse.org/.
Segundo, la causa de que te hayan añadido a una lista de spam, podría
ser por algún equipo de tu red que tenga algún virus, yo vigilaría a
los equipos que hayan enviado estos correos:
ksh86zldbhv45xgvd3encqk5nej2cyqprt9lky875lfs7luxpsaex42-1I...@b.emstechno-
ecm.com
porque parecen un poco sospechosos.
No obstante la cantidad de correos enviados es muy baja para que
alguna lista de spam te haya añadido por esa causa, quizás algún
equipo fuese atrapado por alguna honeypot (http://en.wikipedia.org/
wiki/Honeypot_%28computing%29). O esos equipos puedan enviar correo
directamente sin utilizar el servidor (¿tienen los equipos de tu red
permiso para llegar a servidores de correo externos directamente?)
Saludos.
> 6 bo..ce2@e..02.net
> 6 g....@midominio.com
> 6 g....@midominio.com
> 6 o...@midominio.com
> 6 p....@midominio.com
> 4 b..a@k..xa.es
> 4 f...ier.perez@s...es
> 4 a...@midominio.com
> 4 a.....@midominio.com
> 2 c...@ip-92-60-17-196.net.abissnet.al
> 2 tesoura...@ernandesadvogados.com.br
> 2 azte...@bellafigura.com
> 2 symposiu...@bellafigura.com
> 2 soc...@n.buyvip.com
> 2
> ksh86zldbhv45xgvd3encqk5nej2cyqprt9lky875lfs7luxpsaex42-1I...@b.emstechno-
> ecm.com
> 2
> mh3vbn6cvpc36x3hh9klr9677zq7eanq243pfupskz3rzm6q7lk8c72-1I...@b.emstechno-
> ecm.com
> 2
> vddxazpgdaus7k2q8r3jlq35yabcw5ynbe4nrw337n53wjfy397qnpa-1I...@b.emstechno-
> ecm.com
> 2 penn...@freedownloadscenter.com
> 2 aart...@gailur.com
> 2 kar..ula...@gallifreyone.com
> 2 mhillary...@gbnet.com
> 2 s.jodi...@j-rautobodysupply.com
> 2 barry.bl...@loveable.com
> 2 taw..essie...@metlife.com
> 2 i...@ofertas.miguiashopping.com
> 2 dissensio...@nicetourisme.com
> 2 newslet...@novedadesesdemarca.com
> 2 vince_wag...@peoplepc.com
> 2 i...@news.privateoutlet.com
> 2 qokaweoizo3...@prtcnet.com
> 2 e...@pbm4.publiemails.com
> 2 mica...@smart.com
> 2 mailin...@venteprivee.com
> 2 Co....@yahoo.com
> 2 digitalmagazi...@msg.zinio.com
> 2 vernie_tblanch...@zionsbank.com
raul raul
Aug 5, 2010, 1:49:01 PM8/5/10
to zimbra grupo
Hola
Muchas gracias por tus comentarios. Le comentare al administrador de
la red que revise todo los equipos. He ejecutado este comando.
tail -f /var/log/zimbra.log | grep post y no paran de salirme estos
mensajes.Creo que me esta atacando desde una maquina de mi red, y la
duda que tengo es si estoy enviando SPAM. Me pierdo un poco con este
log
Muchisimas gracias, ire aplicando lo que me dices
connect from unknown[192.168.71.242]
Aug 5 19:30:23 postaz saslauthd[10414]: zmauth: authenticating
against elected url 'https://o..a.org:7071/service/admin/soap/' ...
Aug 5 19:30:23 postaz saslauthd[10414]: zmpost: url='https://o..a.org:
7071/service/admin/soap/' returned buffer->data='<soap:Envelope
xmlns:soap="http://www.w3.org/2003/05/soap-
envelope"><soap:Header><context xmlns="urn:zimbra"/></
soap:Header><soap:Body><soap:Fault><soap:Code><soap:Value>soap:Sender</
soap:Value></soap:Code><soap:Reason><soap:Text>authentication failed
for p..sa3</soap:Text></soap:Reason><soap:Detail><Error
xmlns="urn:zimbra"><Code>account.AUTH_FAILED</
Code><Trace>com.zimbra.cs.account.AccountServiceException
$AuthFailedServiceException: authentication failed for p..a3
ExceptionId:btpool0-7://o..a.org:7071/service/admin/soap/:
1281029423413:31d3d76e17d11e5d Code:account.AUTH_FAILED ^Iat
com.zimbra.cs.account.AccountServiceException
$AuthFailedServiceException.AUTH_FAILED(AccountServiceException.java:
130) ^Iat com.zimbra.cs.account.AccountServiceException
$AuthFailedServiceException.AUTH_FAILED(AccountServiceException.java:
126) ^Iat com.zimbra.cs.account.auth.AuthMechanism$ZimbraAut
Aug 5 19:30:23 postaz saslauthd[10414]: auth_zimbra: p...a3 auth
failed: authentication failed for p..a3
Aug 5 19:30:23 postaz saslauthd[10414]: do_auth : auth
failure: [user=po..a3] [service=smtp] [realm=] [mech=zimbra]
[reason=Unknown]
Aug 5 19:30:23 postaz postfix/smtpd[7405]: warning:
unknown[192.168.71.242]: SASL LOGIN authentication failed:
authentication failure
Aug 5 19:35:46 postaz postfix/smtpd[12404]: lost connection after
AUTH from unknown[192.168.71.242]
Aug 5 19:35:46 postaz postfix/smtpd[12404]: disconnect from
unknown[192.168.71.242]
==========
ug 5 19:39:59 postaz postfix/smtpd[17418]: connect from
unknown[123.21.115.134]
Aug 5 19:40:01 postaz postfix/smtpd[17418]: 1712B142083:
client=unknown[123.21.115.134]
Aug 5 19:40:01 postaz zimbramon[17430]: 17430:info: 2010-08-05
19:40:01, QUEUE: 0 0
Aug 5 19:40:02 postaz postfix/cleanup[17426]: 1712B142083: message-
id=<2010080517400...@otola.org>
Aug 5 19:40:02 postaz postfix/qmgr[10405]: 1712B142083:
from=<a...i@o..a.org>, size=6464, nrcpt=1 (queue active)
Aug 5 19:40:02 postaz amavis[8497]: (08497-09) ESMTP::10024 /opt/
zimbra/data/amavisd/tmp/amavis-20100805T173642-08497: <a...i@o..a.org>
-> <a...i@o..a.org> SIZE=6464 BODY=8BITMIME Received: from otola.org
([127.0.0.1]) by localhost (otola.org [127.0.0.1]) (amavisd-new, port
10024) with ESMTP for <a...i@o..a.org>; Thu, 5 Aug 2010 19:40:02
+0200 (CEST)
Aug 5 19:40:02 postaz amavis[8497]: (08497-09) Checking: K8H7DPqn1P8Y
[123.21.115.134] <a...i@o..a.org> -> <a...i@o..a.org>
Aug 5 19:40:02 postaz postfix/smtpd[17418]: disconnect from
unknown[123.21.115.134]
Aug 5 19:40:03 postaz postfix/smtpd[17798]: connect from
localhost.localdomain[127.0.0.1]
Aug 5 19:40:03 postaz postfix/smtpd[17798]: D332F1420CB:
client=localhost.localdomain[127.0.0.1]
Aug 5 19:40:03 postaz postfix/cleanup[17426]: D332F1420CB: message-
id=<2010080517400...@otola.org>
Aug 5 19:40:03 postaz postfix/smtpd[17798]: disconnect from
localhost.localdomain[127.0.0.1]
Aug 5 19:40:03 postaz postfix/qmgr[10405]: D332F1420CB:
from=<a...i@o..a.org>, size=7213, nrcpt=1 (queue active)
Aug 5 19:40:03 postaz amavis[8497]: (08497-09) FWD via SMTP:
<a...i@o..a.org> -> <a...i@o..a.org>,BODY=8BITMIME 250 2.0.0 Ok,
id=08497-09, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as
D332F1420CB
Aug 5 19:40:03 postaz amavis[8497]: (08497-09) Passed SPAMMY,
[123.21.115.134] [123.21.115.134] <a...i@o..a.org> ->
<a...i@o..a.org>, Message-ID: <2010080517400...@otola.org>,
mail_id: K8H7DPqn1P8Y, Hits: 13.123, size: 6459, queued_as:
D332F1420CB, 1430 ms
Aug 5 19:40:03 postaz postfix/smtp[17696]: 1712B142083:
to=<a...i@o..a.org>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.4,
delays=1.9/0/0/1.4, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=08497-09,
from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as D332F1420CB)
Aug 5 19:40:03 postaz postfix/qmgr[10405]: 1712B142083: removed
Aug 5 19:40:04 postaz postfix/lmtp[17799]: D332F1420CB:
to=<a...i@o..a.org>, relay=otola.org[10.100.100.25]:7025, delay=0.22,
delays=0.02/0.08/0.03/0.09, dsn=2.1.5, status=sent (250 2.1.5 Delivery
OK)
Aug 5 19:40:04 postaz postfix/qmgr[10405]: D332F1420CB: removed
Aug 5 19:40:06 postaz zmmailboxdmgr[17902]: status requested
Aug 5 19:40:06 postaz zmmailboxdmgr[17902]: status OK
Aug 5 19:40:23 postaz postfix/anvil[7429]: statistics: max connection
rate 2/60s for (smtp:213.177.195.111) at Aug 5 19:32:57
Aug 5 19:40:23 postaz postfix/anvil[7429]: statistics: max connection
count 1 for (smtp:192.168.71.242) at Aug 5 19:30:23
Aug 5 19:40:23 postaz postfix/anvil[7429]: statistics: max cache size
1 at Aug 5 19:30:23
Aug 5 19:40:56 postaz zmmailboxdmgr[18935]: status requested
Aug 5 19:40:56 postaz zmmailboxdmgr[18935]: status OK
Aug 5 19:40:56 postaz zmmailboxdmgr[19000]: status requested
Aug 5 19:40:56 postaz zmmailboxdmgr[19000]: status OK
Aug 5 19:40:59 postaz postfix/smtpd[17418]: warning: 94.181.32.1:
hostname net32.181.94-1.chel.ertelecom.ru verification failed: Name or
service not known
Aug 5 19:40:59 postaz postfix/smtpd[17418]: connect from
unknown[94.181.32.1]
Aug 5 19:40:59 postaz postfix/smtpd[17418]: NOQUEUE: reject: RCPT
from unknown[94.181.32.1]: 550 5.1.1 <al...i@o..a.org>: Recipient
address rejected: otola.org; from=<ala...@otola.org>
to=<ala...@otola.org> proto=SMTP
helo=<net32.181.94-1.chel.ertelecom.ru>
Aug 5 19:40:59 postaz postfix/smtpd[17418]: lost connection after
RCPT from unknown[94.181.32.1]
Aug 5 19:40:59 postaz postfix/smtpd[17418]: disconnect from
unknown[94.181.32.1]
Aug 5 19:41:24 postaz postfix/smtpd[17418]: connect from
a95-93-67-176.cpe.netcabo.pt[95.93.67.176]
Aug 5 19:41:24 postaz postfix/smtpd[17418]: NOQUEUE: reject: RCPT
from a95-93-67-176.cpe.netcabo.pt[95.93.67.176]: 554 5.7.1 Service
unavailable; Client host [95.93.67.176] blocked using sbl-
xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=95.93.67.176;
from=<teguqi...@netcabo.pt> to=<ocasi...@otola.org> proto=ESMTP
helo=<netcabo.pt>
Aug 5 19:41:24 postaz postfix/smtpd[17418]: disconnect from
a95-93-67-176.cpe.netcabo.pt[95.93.67.176]
Aug 5 19:41:44 postaz slapd[4827]: slap_queue_csn: queing 0x429f75d0
20100805174144.101724Z#000000#000#000000
Aug 5 19:41:44 postaz slapd[4827]: slap_graduate_commit_csn: removing
0x4399ab0 20100805174144.101724Z#000000#000#000000
Aug 5 19:42:06 postaz zmmailboxdmgr[19783]: status requested
Aug 5 19:42:06 postaz zmmailboxdmgr[19783]: status OK
Aug 5 19:42:15 postaz zmmailboxdmgr[20367]: status requested
Aug 5 19:42:15 postaz zmmailboxdmgr[20367]: status OK
Aug 5 19:42:16 postaz zmmailboxdmgr[20432]: status requested
Aug 5 19:42:16 postaz zmmailboxdmgr[20432]: status OK
Aug 5 19:42:22 postaz slapd[4827]: slap_queue_csn: queing 0x410b25d0
20100805174222.802371Z#000000#000#000000
Aug 5 19:42:22 postaz slapd[4827]: slap_graduate_commit_csn: removing
0x4399300 20100805174222.802371Z#000000#000#000000
Muchas gracias por tus comentarios. Le comentare al administrador de
la red que revise todo los equipos. He ejecutado este comando.
tail -f /var/log/zimbra.log | grep post y no paran de salirme estos
mensajes.Creo que me esta atacando desde una maquina de mi red, y la
duda que tengo es si estoy enviando SPAM. Me pierdo un poco con este
log
Muchisimas gracias, ire aplicando lo que me dices
connect from unknown[192.168.71.242]
Aug 5 19:30:23 postaz saslauthd[10414]: zmauth: authenticating
against elected url 'https://o..a.org:7071/service/admin/soap/' ...
Aug 5 19:30:23 postaz saslauthd[10414]: zmpost: url='https://o..a.org:
7071/service/admin/soap/' returned buffer->data='<soap:Envelope
xmlns:soap="http://www.w3.org/2003/05/soap-
envelope"><soap:Header><context xmlns="urn:zimbra"/></
soap:Header><soap:Body><soap:Fault><soap:Code><soap:Value>soap:Sender</
soap:Value></soap:Code><soap:Reason><soap:Text>authentication failed
for p..sa3</soap:Text></soap:Reason><soap:Detail><Error
xmlns="urn:zimbra"><Code>account.AUTH_FAILED</
Code><Trace>com.zimbra.cs.account.AccountServiceException
$AuthFailedServiceException: authentication failed for p..a3
ExceptionId:btpool0-7://o..a.org:7071/service/admin/soap/:
1281029423413:31d3d76e17d11e5d Code:account.AUTH_FAILED ^Iat
com.zimbra.cs.account.AccountServiceException
$AuthFailedServiceException.AUTH_FAILED(AccountServiceException.java:
130) ^Iat com.zimbra.cs.account.AccountServiceException
$AuthFailedServiceException.AUTH_FAILED(AccountServiceException.java:
126) ^Iat com.zimbra.cs.account.auth.AuthMechanism$ZimbraAut
Aug 5 19:30:23 postaz saslauthd[10414]: auth_zimbra: p...a3 auth
failed: authentication failed for p..a3
Aug 5 19:30:23 postaz saslauthd[10414]: do_auth : auth
failure: [user=po..a3] [service=smtp] [realm=] [mech=zimbra]
[reason=Unknown]
Aug 5 19:30:23 postaz postfix/smtpd[7405]: warning:
unknown[192.168.71.242]: SASL LOGIN authentication failed:
authentication failure
Aug 5 19:35:46 postaz postfix/smtpd[12404]: lost connection after
AUTH from unknown[192.168.71.242]
Aug 5 19:35:46 postaz postfix/smtpd[12404]: disconnect from
unknown[192.168.71.242]
==========
ug 5 19:39:59 postaz postfix/smtpd[17418]: connect from
unknown[123.21.115.134]
Aug 5 19:40:01 postaz postfix/smtpd[17418]: 1712B142083:
client=unknown[123.21.115.134]
Aug 5 19:40:01 postaz zimbramon[17430]: 17430:info: 2010-08-05
19:40:01, QUEUE: 0 0
Aug 5 19:40:02 postaz postfix/cleanup[17426]: 1712B142083: message-
id=<2010080517400...@otola.org>
Aug 5 19:40:02 postaz postfix/qmgr[10405]: 1712B142083:
from=<a...i@o..a.org>, size=6464, nrcpt=1 (queue active)
Aug 5 19:40:02 postaz amavis[8497]: (08497-09) ESMTP::10024 /opt/
zimbra/data/amavisd/tmp/amavis-20100805T173642-08497: <a...i@o..a.org>
-> <a...i@o..a.org> SIZE=6464 BODY=8BITMIME Received: from otola.org
([127.0.0.1]) by localhost (otola.org [127.0.0.1]) (amavisd-new, port
10024) with ESMTP for <a...i@o..a.org>; Thu, 5 Aug 2010 19:40:02
+0200 (CEST)
Aug 5 19:40:02 postaz amavis[8497]: (08497-09) Checking: K8H7DPqn1P8Y
[123.21.115.134] <a...i@o..a.org> -> <a...i@o..a.org>
Aug 5 19:40:02 postaz postfix/smtpd[17418]: disconnect from
unknown[123.21.115.134]
Aug 5 19:40:03 postaz postfix/smtpd[17798]: connect from
localhost.localdomain[127.0.0.1]
Aug 5 19:40:03 postaz postfix/smtpd[17798]: D332F1420CB:
client=localhost.localdomain[127.0.0.1]
Aug 5 19:40:03 postaz postfix/cleanup[17426]: D332F1420CB: message-
id=<2010080517400...@otola.org>
Aug 5 19:40:03 postaz postfix/smtpd[17798]: disconnect from
localhost.localdomain[127.0.0.1]
Aug 5 19:40:03 postaz postfix/qmgr[10405]: D332F1420CB:
from=<a...i@o..a.org>, size=7213, nrcpt=1 (queue active)
Aug 5 19:40:03 postaz amavis[8497]: (08497-09) FWD via SMTP:
<a...i@o..a.org> -> <a...i@o..a.org>,BODY=8BITMIME 250 2.0.0 Ok,
id=08497-09, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as
D332F1420CB
Aug 5 19:40:03 postaz amavis[8497]: (08497-09) Passed SPAMMY,
[123.21.115.134] [123.21.115.134] <a...i@o..a.org> ->
<a...i@o..a.org>, Message-ID: <2010080517400...@otola.org>,
mail_id: K8H7DPqn1P8Y, Hits: 13.123, size: 6459, queued_as:
D332F1420CB, 1430 ms
Aug 5 19:40:03 postaz postfix/smtp[17696]: 1712B142083:
to=<a...i@o..a.org>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.4,
delays=1.9/0/0/1.4, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=08497-09,
from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as D332F1420CB)
Aug 5 19:40:03 postaz postfix/qmgr[10405]: 1712B142083: removed
Aug 5 19:40:04 postaz postfix/lmtp[17799]: D332F1420CB:
to=<a...i@o..a.org>, relay=otola.org[10.100.100.25]:7025, delay=0.22,
delays=0.02/0.08/0.03/0.09, dsn=2.1.5, status=sent (250 2.1.5 Delivery
OK)
Aug 5 19:40:04 postaz postfix/qmgr[10405]: D332F1420CB: removed
Aug 5 19:40:06 postaz zmmailboxdmgr[17902]: status requested
Aug 5 19:40:06 postaz zmmailboxdmgr[17902]: status OK
Aug 5 19:40:23 postaz postfix/anvil[7429]: statistics: max connection
rate 2/60s for (smtp:213.177.195.111) at Aug 5 19:32:57
Aug 5 19:40:23 postaz postfix/anvil[7429]: statistics: max connection
count 1 for (smtp:192.168.71.242) at Aug 5 19:30:23
Aug 5 19:40:23 postaz postfix/anvil[7429]: statistics: max cache size
1 at Aug 5 19:30:23
Aug 5 19:40:56 postaz zmmailboxdmgr[18935]: status requested
Aug 5 19:40:56 postaz zmmailboxdmgr[18935]: status OK
Aug 5 19:40:56 postaz zmmailboxdmgr[19000]: status requested
Aug 5 19:40:56 postaz zmmailboxdmgr[19000]: status OK
Aug 5 19:40:59 postaz postfix/smtpd[17418]: warning: 94.181.32.1:
hostname net32.181.94-1.chel.ertelecom.ru verification failed: Name or
service not known
Aug 5 19:40:59 postaz postfix/smtpd[17418]: connect from
unknown[94.181.32.1]
Aug 5 19:40:59 postaz postfix/smtpd[17418]: NOQUEUE: reject: RCPT
from unknown[94.181.32.1]: 550 5.1.1 <al...i@o..a.org>: Recipient
address rejected: otola.org; from=<ala...@otola.org>
to=<ala...@otola.org> proto=SMTP
helo=<net32.181.94-1.chel.ertelecom.ru>
Aug 5 19:40:59 postaz postfix/smtpd[17418]: lost connection after
RCPT from unknown[94.181.32.1]
Aug 5 19:40:59 postaz postfix/smtpd[17418]: disconnect from
unknown[94.181.32.1]
Aug 5 19:41:24 postaz postfix/smtpd[17418]: connect from
a95-93-67-176.cpe.netcabo.pt[95.93.67.176]
Aug 5 19:41:24 postaz postfix/smtpd[17418]: NOQUEUE: reject: RCPT
from a95-93-67-176.cpe.netcabo.pt[95.93.67.176]: 554 5.7.1 Service
unavailable; Client host [95.93.67.176] blocked using sbl-
xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=95.93.67.176;
from=<teguqi...@netcabo.pt> to=<ocasi...@otola.org> proto=ESMTP
helo=<netcabo.pt>
Aug 5 19:41:24 postaz postfix/smtpd[17418]: disconnect from
a95-93-67-176.cpe.netcabo.pt[95.93.67.176]
Aug 5 19:41:44 postaz slapd[4827]: slap_queue_csn: queing 0x429f75d0
20100805174144.101724Z#000000#000#000000
Aug 5 19:41:44 postaz slapd[4827]: slap_graduate_commit_csn: removing
0x4399ab0 20100805174144.101724Z#000000#000#000000
Aug 5 19:42:06 postaz zmmailboxdmgr[19783]: status requested
Aug 5 19:42:06 postaz zmmailboxdmgr[19783]: status OK
Aug 5 19:42:15 postaz zmmailboxdmgr[20367]: status requested
Aug 5 19:42:15 postaz zmmailboxdmgr[20367]: status OK
Aug 5 19:42:16 postaz zmmailboxdmgr[20432]: status requested
Aug 5 19:42:16 postaz zmmailboxdmgr[20432]: status OK
Aug 5 19:42:22 postaz slapd[4827]: slap_queue_csn: queing 0x410b25d0
20100805174222.802371Z#000000#000#000000
Aug 5 19:42:22 postaz slapd[4827]: slap_graduate_commit_csn: removing
0x4399300 20100805174222.802371Z#000000#000#000000
Washo
Aug 6, 2010, 12:01:59 PM8/6/10
to zimbra grupo
Hola,
No me aclara mucho el log, aparte de un mensaje bloqueado por la lista
antispam y otro que paso marcado como posible spam (SPAMMY) no es que
vea nada raro. Sí, es cierto que estas recibiendo SPAM desde el
exterior pero es inevitable y las listas de span, y las herramientas
de zimbra (spamassasin,dspam) estan peleando con ellos. Quizá un poco
más de log pueda dar alguna otra pista.
Otra buen pista que puedes darnos es ponerlos los log del "camino" que
siguen algunos de los correos que veas sopechosos de ser spam generado
desde dentro, con un grep por el mailid por ejemplo:
grep 001928266A5 /var/log/zimbra.log
Aug 6 15:57:30 server postfix/smtpd[28866]: 001928266A5:
...
...
...
Espero que te valiese de algo... :)
Saludos.
> id=<20100805174001.1712B142...@otola.org>
> from=<teguqibu5...@netcabo.pt> to=<ocasionv...@otola.org> proto=ESMTP
> ...
>
> leer más »
No me aclara mucho el log, aparte de un mensaje bloqueado por la lista
antispam y otro que paso marcado como posible spam (SPAMMY) no es que
vea nada raro. Sí, es cierto que estas recibiendo SPAM desde el
exterior pero es inevitable y las listas de span, y las herramientas
de zimbra (spamassasin,dspam) estan peleando con ellos. Quizá un poco
más de log pueda dar alguna otra pista.
Otra buen pista que puedes darnos es ponerlos los log del "camino" que
siguen algunos de los correos que veas sopechosos de ser spam generado
desde dentro, con un grep por el mailid por ejemplo:
grep 001928266A5 /var/log/zimbra.log
Aug 6 15:57:30 server postfix/smtpd[28866]: 001928266A5:
...
...
...
Espero que te valiese de algo... :)
Saludos.
> Aug 5 19:40:02 postaz postfix/qmgr[10405]: 1712B142083:
> from=<a...i@o..a.org>, size=6464, nrcpt=1 (queue active)
> Aug 5 19:40:02 postaz amavis[8497]: (08497-09) ESMTP::10024 /opt/
> zimbra/data/amavisd/tmp/amavis-20100805T173642-08497: <a...i@o..a.org>
> -> <a...i@o..a.org> SIZE=6464 BODY=8BITMIME Received: from otola.org
> ([127.0.0.1]) by localhost (otola.org [127.0.0.1]) (amavisd-new, port
> 10024) with ESMTP for <a...i@o..a.org>; Thu, 5 Aug 2010 19:40:02
> +0200 (CEST)
> Aug 5 19:40:02 postaz amavis[8497]: (08497-09) Checking: K8H7DPqn1P8Y
> [123.21.115.134] <a...i@o..a.org> -> <a...i@o..a.org>
> Aug 5 19:40:02 postaz postfix/smtpd[17418]: disconnect from
> unknown[123.21.115.134]
> Aug 5 19:40:03 postaz postfix/smtpd[17798]: connect from
> localhost.localdomain[127.0.0.1]
> Aug 5 19:40:03 postaz postfix/smtpd[17798]: D332F1420CB:
> client=localhost.localdomain[127.0.0.1]
> Aug 5 19:40:03 postaz postfix/cleanup[17426]: D332F1420CB: message-
> id=<20100805174001.1712B142...@otola.org>
> from=<a...i@o..a.org>, size=6464, nrcpt=1 (queue active)
> Aug 5 19:40:02 postaz amavis[8497]: (08497-09) ESMTP::10024 /opt/
> zimbra/data/amavisd/tmp/amavis-20100805T173642-08497: <a...i@o..a.org>
> -> <a...i@o..a.org> SIZE=6464 BODY=8BITMIME Received: from otola.org
> ([127.0.0.1]) by localhost (otola.org [127.0.0.1]) (amavisd-new, port
> 10024) with ESMTP for <a...i@o..a.org>; Thu, 5 Aug 2010 19:40:02
> +0200 (CEST)
> Aug 5 19:40:02 postaz amavis[8497]: (08497-09) Checking: K8H7DPqn1P8Y
> [123.21.115.134] <a...i@o..a.org> -> <a...i@o..a.org>
> Aug 5 19:40:02 postaz postfix/smtpd[17418]: disconnect from
> unknown[123.21.115.134]
> Aug 5 19:40:03 postaz postfix/smtpd[17798]: connect from
> localhost.localdomain[127.0.0.1]
> Aug 5 19:40:03 postaz postfix/smtpd[17798]: D332F1420CB:
> client=localhost.localdomain[127.0.0.1]
> Aug 5 19:40:03 postaz postfix/cleanup[17426]: D332F1420CB: message-
> Aug 5 19:40:03 postaz postfix/smtpd[17798]: disconnect from
> localhost.localdomain[127.0.0.1]
> Aug 5 19:40:03 postaz postfix/qmgr[10405]: D332F1420CB:
> from=<a...i@o..a.org>, size=7213, nrcpt=1 (queue active)
> Aug 5 19:40:03 postaz amavis[8497]: (08497-09) FWD via SMTP:
> <a...i@o..a.org> -> <a...i@o..a.org>,BODY=8BITMIME 250 2.0.0 Ok,
> id=08497-09, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as
> D332F1420CB
> Aug 5 19:40:03 postaz amavis[8497]: (08497-09) Passed SPAMMY,
> [123.21.115.134] [123.21.115.134] <a...i@o..a.org> ->
> <a...i@o..a.org>, Message-ID: <20100805174001.1712B142...@otola.org>,
> localhost.localdomain[127.0.0.1]
> Aug 5 19:40:03 postaz postfix/qmgr[10405]: D332F1420CB:
> from=<a...i@o..a.org>, size=7213, nrcpt=1 (queue active)
> Aug 5 19:40:03 postaz amavis[8497]: (08497-09) FWD via SMTP:
> <a...i@o..a.org> -> <a...i@o..a.org>,BODY=8BITMIME 250 2.0.0 Ok,
> id=08497-09, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as
> D332F1420CB
> Aug 5 19:40:03 postaz amavis[8497]: (08497-09) Passed SPAMMY,
> [123.21.115.134] [123.21.115.134] <a...i@o..a.org> ->
>
> leer más »
Reply all
Reply to author
Forward
0 new messages