Problema de seguridad en zimbra 6

[mX]

hola a todos, hace unos dias me reportaron que los mails que se
enviaban no llegaban a destino, cuando hago una revisión rapida me
percato que mi IP estaba en un monton de listas negras.

Reviso las colas de correo y efectivamente tenia como 20mil correos
diferidos a direcciones extrañas. En la cuenta de admin me llega lo
detallado mas abajo. Segun lo que puedo ver los mails masivos se
estarian generando desde afuera de mi red, pero aun no entiendo como.

Received: from User (unknown [41.203.79.249])

No existe ningun usuario de nombre "User" no entiendo que pudo haber
pasado, tengo mi iptables bien configurado y estoy detras de un router
solo con los puertos indispensables habilitados.

Va el mail que me llego.
Saludos





This is an automated email abuse report from the folks at
junkemailfilter.com for an email message received from IP address
[200.85.xx.xx] on Sun, 07 Nov 2010 13:07:01 -0700.

We hope this information will help you in determining the source of
the problem and shut it down. The original message is attached in MIME
format with complete headers. For more information about this
standardized abuse report format [ARF] please visit http://www.mipassoc.org/arf/
If you would prefer abuse reports in text format let us know.

If you have any questions or feedback about this abuse report or are
interested in learning about our spam filtering technology feel free
to contact us. If this is not spam please accept our apologies and let
us know so we can fix the problem. Pay close attention to the REASON
listed.
Marc Perkel - Fearless Leader
Junk Email Filter dot com
http://www.junkemailfilter.com
err...@junkemailfilter.com

* Date: Sun, 07 Nov 2010 13:07:01 -0700
* From: "MR.Douglas Hall"<willi...@verizon.net>
* Subject: OPEN ATTACH FILE OF YOUR PAYMENT DETAILS FROM OFFICE OF
WESTERN UNION MONEY TRANSFER,COTONOU BENIN REPUBLIC
* Host: mail.miempresa.com.py [200.85.xx.xx]
* Reason: MULTI-BLACKLIST - [S=6 - psbl.surriel.com all.spamrats.com
spamsources.fabel.dk] - OurBl BlList - X=venus
H=mail.miempresa.com.py [200.85.xx.xx] HELO=[mail.miempresa.com.py]
F=[willi...@verizon.net] T=[3454cf...@red.com] S=[OPEN ATTACH
FILE

For more information about these abuse reports:
http://wiki.junkemailfilter.com/index.php/Spam_abuse
To test or be removed from our blacklist:
http://ipadmin.junkemailfilter.com/remove.php?ip=200.85.42.122

======== Original Headers ========

Received: from mail.miempresa.com.py ([200.85.xx.xx])
by venus.junkemailfilter.com with esmtp (Exim 4.72)
id 1PFCRz-0008Dk-J8 on interface=65.49.42.50
for 3454cf...@red.com; Sun, 07 Nov 2010 13:07:01 -0800
Received: from localhost (localhost.localdomain [127.0.0.1])
by mail.miempresa.com.py (Postfix) with ESMTP id 7C870608044;
Sun, 7 Nov 2010 17:47:17 -0300 (PYST)
X-Virus-Scanned: amavisd-new at miempresa.com.py
Received: from mail.miempresa.com.py ([127.0.0.1])
by localhost (mail.miempresa.com.py [127.0.0.1]) (amavisd-new,
port 10024)
with ESMTP id CpiJG7O8H7ie; Sun, 7 Nov 2010 17:47:15 -0300
(PYST)
Received: from User (unknown [41.203.79.249])
by mail.provent.com.py (Postfix) with ESMTPA id 12F98608038;
Sun, 7 Nov 2010 17:45:47 -0300 (PYST)
Reply-To: <western....@w.cn>
From: "MR.Douglas Hall"<willi...@verizon.net>
Subject: OPEN ATTACH FILE OF YOUR PAYMENT DETAILS FROM OFFICE OF
WESTERN UNION MONEY TRANSFER,COTONOU BENIN REPUBLIC
Date: Sat, 6 Nov 2010 22:03:56 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_010A_01C2A9A6.4765502C"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <2010110720454...@mail.provent.com.py>
To: undisclosed-recipients:;
X-Sender-Domain: miempresa.com.py
X-Spamfilter-host: venus.junkemailfilter.com - http://www.junkemailfilter.com
X-Mail-from: willi...@verizon.net

[Ulver Woeman]

http://www.abuse.net/relay.html

http://www.rblmon.com/

--
Has recibido este mensaje porque eres miembro de "zimbra grupo" de Google.
Si quieres publicar envía un mensaje de correo a zimbr...@googlegroups.com o entra en http://groups.google.es/group/zimbragrupo

Para anular la suscripción envía un mensaje a zimbragrupo...@googlegroups.com

[amperis]

Puede ser que alguna maquina interna de tú red esté controlada y esten enviando spam a traves de tú Zimbra.
Revisa tus antivirus y los parches de todos tús Windows...

--
Has recibido este mensaje porque eres miembro de "zimbra grupo" de Google.
Si quieres publicar envía un mensaje de correo a zimbr...@googlegroups.com o entra en http://groups.google.es/group/zimbragrupo

Para anular la suscripción envía un mensaje a zimbragrupo...@googlegroups.com

--
amperis
Yo soy FIBer
--
http://www.amperisblog.com
http://groups.google.es/group/zimbragrupo

[Yek]

buenas

Lo primero comentarte que tu problema no es "problema de seguridad en
zimbra 6" sino en como lo tienes configurado. tienes que hacer
comprobaciones para saber de donde esta saliendo el spam, puede ser un
usuario interno de tu lan o alguien externo. inicialmente comprueba
los logs(allí estará la solución a tus problemas) y haz un telnet a la
ip de tu server, también tienes herramientas como tcpdump para tracear
que esta pasando...

> > * From:    "MR.Douglas Hall"<willi.f...@verizon.net>

> > * Subject: OPEN ATTACH FILE OF YOUR PAYMENT DETAILS FROM OFFICE OF
> > WESTERN UNION MONEY TRANSFER,COTONOU BENIN REPUBLIC
> > * Host:    mail.miempresa.com.py [200.85.xx.xx]
> > * Reason:  MULTI-BLACKLIST - [S=6 - psbl.surriel.com all.spamrats.com
> > spamsources.fabel.dk] -  OurBl BlList - X=venus
> > H=mail.miempresa.com.py [200.85.xx.xx] HELO=[mail.miempresa.com.py]

> > F=[willi.f...@verizon.net] T=[3454cf75.4...@red.com] S=[OPEN ATTACH

> > FILE
>
> > For more information about these abuse reports:
> >http://wiki.junkemailfilter.com/index.php/Spam_abuse
> > To test or be removed from our blacklist:
> >http://ipadmin.junkemailfilter.com/remove.php?ip=200.85.42.122
>
> > ======== Original Headers ========
>
> > Received: from mail.miempresa.com.py ([200.85.xx.xx])
> >        by venus.junkemailfilter.com with esmtp (Exim 4.72)
> >        id 1PFCRz-0008Dk-J8 on interface=65.49.42.50

> >        for 3454cf75.4...@red.com; Sun, 07 Nov 2010 13:07:01 -0800

> > Received: from localhost (localhost.localdomain [127.0.0.1])
> >        by mail.miempresa.com.py (Postfix) with ESMTP id 7C870608044;
> >        Sun,  7 Nov 2010 17:47:17 -0300 (PYST)
> > X-Virus-Scanned: amavisd-new at miempresa.com.py
> > Received: from mail.miempresa.com.py ([127.0.0.1])
> >        by localhost (mail.miempresa.com.py [127.0.0.1]) (amavisd-new,
> > port 10024)
> >        with ESMTP id CpiJG7O8H7ie; Sun,  7 Nov 2010 17:47:15 -0300
> > (PYST)
> > Received: from User (unknown [41.203.79.249])
> >        by mail.provent.com.py (Postfix) with ESMTPA id 12F98608038;
> >        Sun,  7 Nov 2010 17:45:47 -0300 (PYST)

> > Reply-To: <western.union....@w.cn>
> > From: "MR.Douglas Hall"<willi.f...@verizon.net>

> > Subject: OPEN ATTACH FILE OF YOUR PAYMENT DETAILS FROM OFFICE OF
> > WESTERN UNION MONEY TRANSFER,COTONOU BENIN REPUBLIC
> > Date: Sat, 6 Nov 2010 22:03:56 -0700
> > MIME-Version: 1.0
> > Content-Type: multipart/mixed;
> >        boundary="----=_NextPart_000_010A_01C2A9A6.4765502C"
> > X-Priority: 3
> > X-MSMail-Priority: Normal
> > X-Mailer: Microsoft Outlook Express 6.00.2600.0000
> > X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

> > Message-Id: <20101107204549.12F98608...@mail.provent.com.py>

> > To: undisclosed-recipients:;
> > X-Sender-Domain: miempresa.com.py
> > X-Spamfilter-host: venus.junkemailfilter.com -
> >http://www.junkemailfilter.com

> > X-Mail-from: willi.f...@verizon.net

[mX]

Nov 8 14:20:16 mail postfix/smtpd[11299]: Anonymous TLS connection
established from unknown[41.191.85.209]: TLSv1 with cipher DHE-RSA-
AES256-SHA (256/256 bits)
Nov 8 14:20:16 mail postfix/smtpd[11301]: Anonymous TLS connection
established from unknown[41.191.85.209]: TLSv1 with cipher DHE-RSA-
AES256-SHA (256/256 bits)
Nov 8 14:20:17 mail postfix/smtpd[13619]: Anonymous TLS connection
established from unknown[41.191.85.209]: TLSv1 with cipher DHE-RSA-
AES256-SHA (256/256 bits)
Nov 8 14:20:17 mail postfix/smtpd[11341]: connect from
unknown[41.191.85.209]
Nov 8 14:20:19 mail zmmailboxdmgr[20219]: status requested
Nov 8 14:20:19 mail zmmailboxdmgr[20219]: status OK
Nov 8 14:20:20 mail postfix/smtpd[11341]: setting up TLS connection
from unknown[41.191.85.209]
Nov 8 14:20:21 mail postfix/cleanup[12625]: C3A59608309: message-
id=<2010110817181...@mail.provent.com.py>
Nov 8 14:20:21 mail postfix/smtpd[10753]: 3CDB3608008:
client=unknown[41.191.85.209], sasl_method=LOGIN, sasl_username=root
Nov 8 14:20:22 mail postfix/smtpd[11457]: disconnect from
unknown[41.191.85.209]
Nov 8 14:20:23 mail postfix/smtpd[11298]: 2824360800C:
client=unknown[41.191.85.209], sasl_method=LOGIN, sasl_username=root
Nov 8 14:20:23 mail postfix/smtpd[11341]: Anonymous TLS connection
established from unknown[41.191.85.209]: TLSv1 with cipher DHE-RSA-
AES256-SHA (256/256 bits)


WTF ?

[Daniel A. Eugenin]

----- Original Message -----
> From: "mX" <guill...@gmail.com>
> To: "zimbra grupo" <zimbr...@googlegroups.com>
> Sent: Monday, November 8, 2010 2:41:04 PM
> Subject: Re: Problema de seguridad en zimbra 6

...

> client=unknown[41.191.85.209], sasl_method=LOGIN, sasl_username=root

...
>
> WTF ?

>
> >
> > > > Received: from User (unknown [41.203.79.249])

El tema es sencillo, desde africa, adivinaron el password de tu usuario "root" de correo y están utilizando tu servidor para autentificarse con dicha cuenta y con eso enviar spam hacia internet, causando que tu servidor se encole de miles de correos y que eventualmente caigas en listas negras de spam.

Solución:
- En primer lugar, cambia el password de dicho usuario inmediatamente
- Setea fuertes políticas de password a tus usuarios en la interfaz de administración de zimbra (lo puedes hacer en las clases de servicio)

[mX]

ya cambie la contraseña del "root" del sistema.

Lo raro es que dice Received: from User (unknown [41.203.79.249]) y en
mi zimbra no tengo ningun usuario "User"

[Daniel A. Eugenin]

----- Original Message -----
> From: "mX" <guill...@gmail.com>
> To: "zimbra grupo" <zimbr...@googlegroups.com>
> Sent: Monday, November 8, 2010 3:17:24 PM
> Subject: Re: Problema de seguridad en zimbra 6

> ya cambie la contraseña del "root" del sistema.
>
> Lo raro es que dice Received: from User (unknown [41.203.79.249]) y en
> mi zimbra no tengo ningun usuario "User"
> >
>

Si buscas qué significa cada texto que hay en dicho log verás que no hay nada raro. "User" no se refiere a un usuario, sino al hostname de la máquina que utilizó tu servidor para enviar spam...

--
Daniel Eugenin M.

[mX]

Gracias, me deja preocupado este tema, tengo un router solo con los
puertos indispensables con forwarding, el iptables configurado, y
desde africa "adivinan" mi password de root...

Es medio peliculesco, lo que es casi seguro es que no entran desde mi
lan por el ip africano

[julio.fuentes]

Hola a todos..

la verdad ami me paso excatamente lo mismo...de hecho en este momento
entro a la consola web
y veo la cola de diferidos y son cerca de 200.

el problema que tengo es que no puedo eliminarlos, porque me dice "se
ha detectado un error con el servidor"
y tira el siguiente aviso: Código de error: EMPTY_RESPONSE Method:
GetMailQueueRequest

bueno...aparte de eso que todos los detalles dicen eror error error...

la consulta es...como puedo eliminar la cola de diferidos desde
consola??

ya he reiniciado el servidor en 2 oportunidades, pero no se como
sacarlos.

el problema ya esta resuelto, lo que paso es que efectivamente unos
tipos de gringolandia se metieron al server

y lo utilizavan como pisshing (o como se escriba), y ahi me quedo esa
tremenda cola de diferidos..

quedo atento una ayuda.

gracias amigos.

Julio Fuentes

[julio.fuentes]

otra cosa....me arroja este error tambien:

Mensaje: system failure: exception during auth {RemoteManager:
webmail.midominio.com->zim...@webmail.webmail.midominio.com:22} Código
de error: service.FAILURE Method: MailQueueActionRequest
Detalles:soap:Receiver

no se que significa.

saludos y gracias de antemano.

On 8 nov, 15:48, mX <guilleve...@gmail.com> wrote:

[Sergio Manuel Ramírez Martínez]

Puedes removerlos utilizando los comandos postqueue y postsuper, el primero te muestra la cola de correos:

postqueue -p

ahi buscas los IDs y los borras con postsuper

postsuper -d 4D13D1E10158

o haz un script con grep, awk y/o sed para borrar varios al mismo tiempo.

Saludos

2010/11/9 julio.fuentes <julio.f...@gmail.com>

--
Has recibido este mensaje porque eres miembro de "zimbra grupo" de Google.
Si quieres publicar envía un mensaje de correo a zimbr...@googlegroups.com o entra en http://groups.google.es/group/zimbragrupo

Para anular la suscripción envía un mensaje a zimbragrupo...@googlegroups.com

--
Sergio Manuel Ramírez Martínez
http://beermaster.blogspot.com
http://www.versolibre.org

[julio.fuentes]

Muchas gracias sergio...lo aplicare...aver como me va y les cuento..

Saludos!

On 9 nov, 16:27, Sergio Manuel Ramírez Martínez <sergio...@gmail.com>
wrote:

> Puedes removerlos utilizando los comandos postqueue y postsuper, el primero
> te muestra la cola de correos:
>
> postqueue -p
>
> ahi buscas los IDs y los borras con postsuper
>
> postsuper -d 4D13D1E10158
>
> o haz un script con grep, awk y/o sed para borrar varios al mismo tiempo.
>
> Saludos
>

> 2010/11/9 julio.fuentes <julio.fuente...@gmail.com>

[mX]

Yo le daba postsuper -d ALL y mandaba todo a la mierda.

Lo interesante seria mas alla de saber que entraron y "adivinaron" la
clave, como lo hicieron, o al menos que podamos compartir medidas de
seguridad que sean algo efectivas. Yo me comi varias horas
reinstalando todo de 0 por esta situacion, y ahora que voy a
levantarlo todo de el principio seria interesante ver que medidas de
seguridad son las mas convenientes.


Saludos
G.

[mX]

Como resolviste el problema julio? yo incluso voy a cambiar el IP
publico del server


saludos

[julio.fuentes]

en este momento voy saliendo del trabajo bro, en cuanto llegue a mi
casa te puedo dar mas detalle y ayudas sobre como lo solucione..

por ahora te recomiendo que pruebes enviando correos a alguna cuenta
tuya de gmail y hotmail y prueba si te lo marca como spam, de esa
forma puedes ver si ya estas en alguna lista o black list en el peor
de los casos...

saludos!

PD: mandame un mail con los detalles bro..

On 9 nov, 17:41, mX <guilleve...@gmail.com> wrote:
> Como resolviste el problema julio? yo incluso voy a cambiar el IP
> publico del server
>
> saludos
>
> On 9 nov, 14:26, "julio.fuentes" <julio.fuente...@gmail.com> wrote:
>
> > Hola a todos..
>
> > la verdad ami me paso excatamente lo mismo...de hecho en este momento
> > entro a la consola web

mX ha escrito:

[mX]

Creo que tal vez una medida interesante de seguridad sería poder
restringir la cantidad de correos por dia de cada cuenta, o tal vez
ver la forma de tener algun tipo de mecanismo anti-flood en el SMTP
que monitoree X cantidad en X tiempo.


Bueno seria interesante los aportes en ese sentido


Saludos.
G.

[julio.fuentes]

bueno, en mi caso la experiencia es la siguiente.

me paso exactamente lo mismo que mX, después de tanto problema que
tuve logre dar con la posible falla (hasta ahora no ha vuelto a
ocurrir), el BUG estaba en apache, el famoso user que crea cuando lo
instalas "www-data", estos tipos se metieron por ese user al ssh y no
se como entraron, pero lo hicieron. me instalaron unos softwares que
enviaban mails para hacer pisshing (fraudes), bueno, finalmente la IP
me la dejaron en varias blacklist de diversos proveedores, asi que
para comenzar, me meti a la configuración del ssh y deniegue el acceso
al root, y solo podian accesar con los user admin y zimbra (ya que
zimbra usa su cuenta para ssh), luego cambie todas las password,
incluyendo la del famosos www-data (ya que ellos tenias la clave),
finalmente procedí a enviar correos a los respectivos proveedores de
listas negras, para que me sacaran de sus base de datos.

y bueno...espero no le pase a nadie mas, con esto podemos ver lo
importante que es tener todo bien "parchado" y actualizado nuestro
sistema, porque aunque invirtamos mucho dinero en seguridad un simple
y pequeño agujerito puede dejar entrar a alguien, a pesar que tenia un
firewall.

espero les sirva de experiencia y algunos de conocimiento, y ati mX
para que veas si por ahi puede andar tu problema.

saludos y buena suerte.


Julio Fuentes

[mX]

Gracias por tu aporte Julio, importante para tener en cuenta.

Ahora estuve viendo algunos mecanismos de seguridad y he encontrado
algunos interesantes como

- Incluir un registro de SPF en el DNS que administra tu dominio.
http://spf.pobox.com/wizard.html
- Instalar el DomainKeys filter en el postfix y posteriormente
publicar una clave en un registro DNS. http://jason.long.name/dkfilter/

El registro SPF es facil, ahora el DKFILTER es mas complicado porque
tenes que instalarlo y configurarlo en el POSTFIX, sería interesante
ver si alguien tiene alguna experiencia con esto en el ZIMBRA. Estos
mecanismos ayudan a que servicios como hotmail o gmail no filtren
nuestros correos.




Saludos
mX

[Juan Carlos]

Se agradece el compartir tus experiencias nos ayudara mucho a todos los
involucrados de aquí
Saludos

-----Mensaje original-----
De: zimbr...@googlegroups.com [mailto:zimbr...@googlegroups.com] En
nombre de julio.fuentes
Enviado el: Wednesday, November 10, 2010 18:39 PM
Para: zimbra grupo
Asunto: Re: Problema de seguridad en zimbra 6

saludos y buena suerte.

Julio Fuentes

--