spam supuestamente enviado desde mis usuarios
663 views
Skip to first unread message
kazabe
Dec 3, 2008, 7:54:52 PM12/3/08
to zimbr...@googlegroups.com
holas.
Estoy detectando que varios usuarios estan comenzando a recibir spam enviado aparentemente por ellos mismos. La cuenta origen aparece como si fuera la misma cuenta del usuario.
Comence entonces a realizar pruebas por telnet, y encuentro que puedo enviar correos a cualquier usuario, simplemente usando comandos smtp.
<prueba>
telnet mail.midominio.net 25
Trying 190.144.5.56...
Connected to mail.midominio.net.
Escape character is '^]'.
220 mail.midominio.net ESMTP Postfix
helo mail.midominio.net
250 mail.midominio.net
MAIL FROM: usu...@midominio.net
250 2.1.0 Ok
RCPT TO: otrou...@midominio.net
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
subject: spam via telnet
esto es spam
.
250 2.0.0 Ok: queued as E699131C271
500 5.5.2 Error: bad syntax
quit
221 2.0.0 Bye
Connection closed by foreign host.
</prueba>
Como puedo evitar esto? Se me esta comenzando a volver un problema delicado en varios servidores
gracias de antemano por su colaboracion
saludos
--
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein
amperis
Dec 4, 2008, 4:29:40 AM12/4/08
to zimbr...@googlegroups.com
Hola,
¿Pero tú problema cual es?... que se pueda enviar spam de un usaurio a otro de tú dominio, que se pueda enviar spam haciendose pasar por un usuario de tú dominio o que los usuario puedan hacer telnet al 25. ???
amperis
Ingeniero Técnico en Informática de Sistemas
Ora10 DBA, CNNA, WLANFE, SDN, SNPA.
Linux user #472086
--
http://amperis.blogspot.com
http://groups.google.es/group/zimbragrupo
kazabe
Dec 4, 2008, 11:22:30 AM12/4/08
to zimbr...@googlegroups.com
el problema es que cualquiera que sepa enviar correos usando telnet, podra enviarme basura a mi servidor, simplemente fingiendo ser un usuario de mi dominio. Logicamente hemos descartado que los usuarios sean los generadores del spam; es desde afuera que me lo envian, usando telnet y fingiendo ser usuarios validos (simplemente usan una cuenta que tenga el dominio midominio.net).
Lo que necesito es lograr que solamente se puedan enviar mensajes previa autenticacion de usuarios (con excepcion del localhost, el cual si no veo necesidad de autenticarlo).
saludos
Lo que necesito es lograr que solamente se puedan enviar mensajes previa autenticacion de usuarios (con excepcion del localhost, el cual si no veo necesidad de autenticarlo).
saludos
fenix
Dec 4, 2008, 11:34:14 AM12/4/08
to zimbra grupo
Es normal recibir este tipo de correo, pero no creo que lo estén
enviando desde tu propio servidor.
A un servidor SMTP le puedes indicar, con la petición MAIL FROM, desde
qué dirección estás enviando un correo (¡aunque sea falsa!). Esto
siempre ha sido aprovechado por los spammer.
Y para burlar las herramientas antispam que discriminan según la
dirección del remitente, de un tiempo a esta parte se utiliza esta
técnica; indicar en MAIL FROM la misma dirección que en RCPT TO.
Evidentemente, nadie suele colocar su propia dirección de correo en
una lista antispam.
Ahora las herramientas antispam no son tan inocentes, pero hace unos
años sí lo eran.
Probablemente os estén enviando esos mensajes desde un open relay
externo. Revisa las cabeceras SMTP de los mensajes (en Zimbra tienes
una opción, pulsando con el botón derecho del ratón en un mensaje,
para ver el original). Ahí podrás ver desde qué IP ha salido
originalmente ese mensaje, y comprobar que no es de tu organización.
En cuanto a que puedas enviar mensajes a cualquier usuario usando
telnet, es normal que puedas hacerlo, hasta cierto punto.
La prueba que has hecho es exáctamente lo mismo que usar un cliente de
correo; el cliente establece una conexión al puerto 25 del servidor y
le pasa una serie de peticiones (MAIL FROM, RCPT TO, DATA...). Y todo
esto en texto claro (por eso SMTP es un protocolo taaaan seguro). Es
una prueba muy útil para otros problemas, pero creo que en este caso
te la podrías haber ahorrado.
¿Por qué digo que es normal que funcione "hasta cierto punto"? Porque
tienes que poder enviar correo desde Internet a tu organización, y
desde la red de tu organización a Internet; pero no desde Internet a
Internet. Eso sería un open relay, y es el tipo de servidor que usan
los spammer.
Hay distintas pruebas para asegurarse de que nuestros servidores no
permiten el relay abierto (y en consecuencia no van a ser utilizados
por spammers); si no te quieres complicar, échale un ojo a este test:
http://www.mxtoolbox.com/diagnostic.aspx
La cuarta comprobación de la lista (Relay Check) te dirá si tu
servidor está funcionando como un open relay.
Si esta prueba da OK, yo no me preocuparía demasiado por el tema. Aún
así, deberías "educar" a Spamassasin para filtrar esos correos que
mencionas. También hay una opción en la Consola de Admin. de Zimbra
para que Spamassasin compruebe que la IP y el dominio del remitente se
corresponden; eso pararía estos correos tan molestos (aunque frente a
otros remitentes puede provocar falsos positivos: OJO).
Espero haberte ayudado, un saludo.
On 4 dic, 01:54, kazabe <kaz...@gmail.com> wrote:
> holas.
>
> Estoy detectando que varios usuarios estan comenzando a recibir spam enviado
> aparentemente por ellos mismos. La cuenta origen aparece como si fuera la
> misma cuenta del usuario.
>
> Comence entonces a realizar pruebas por telnet, y encuentro que puedo enviar
> correos a cualquier usuario, simplemente usando comandos smtp.
>
> <prueba>
>
> telnet mail.midominio.net 25
> Trying 190.144.5.56...
> Connected to mail.midominio.net.
> Escape character is '^]'.
> 220 mail.midominio.net ESMTP Postfix
> helo mail.midominio.net
> 250 mail.midominio.net
> MAIL FROM: usua...@midominio.net
> 250 2.1.0 Ok
> RCPT TO: otrousua...@midominio.net
enviando desde tu propio servidor.
A un servidor SMTP le puedes indicar, con la petición MAIL FROM, desde
qué dirección estás enviando un correo (¡aunque sea falsa!). Esto
siempre ha sido aprovechado por los spammer.
Y para burlar las herramientas antispam que discriminan según la
dirección del remitente, de un tiempo a esta parte se utiliza esta
técnica; indicar en MAIL FROM la misma dirección que en RCPT TO.
Evidentemente, nadie suele colocar su propia dirección de correo en
una lista antispam.
Ahora las herramientas antispam no son tan inocentes, pero hace unos
años sí lo eran.
Probablemente os estén enviando esos mensajes desde un open relay
externo. Revisa las cabeceras SMTP de los mensajes (en Zimbra tienes
una opción, pulsando con el botón derecho del ratón en un mensaje,
para ver el original). Ahí podrás ver desde qué IP ha salido
originalmente ese mensaje, y comprobar que no es de tu organización.
En cuanto a que puedas enviar mensajes a cualquier usuario usando
telnet, es normal que puedas hacerlo, hasta cierto punto.
La prueba que has hecho es exáctamente lo mismo que usar un cliente de
correo; el cliente establece una conexión al puerto 25 del servidor y
le pasa una serie de peticiones (MAIL FROM, RCPT TO, DATA...). Y todo
esto en texto claro (por eso SMTP es un protocolo taaaan seguro). Es
una prueba muy útil para otros problemas, pero creo que en este caso
te la podrías haber ahorrado.
¿Por qué digo que es normal que funcione "hasta cierto punto"? Porque
tienes que poder enviar correo desde Internet a tu organización, y
desde la red de tu organización a Internet; pero no desde Internet a
Internet. Eso sería un open relay, y es el tipo de servidor que usan
los spammer.
Hay distintas pruebas para asegurarse de que nuestros servidores no
permiten el relay abierto (y en consecuencia no van a ser utilizados
por spammers); si no te quieres complicar, échale un ojo a este test:
http://www.mxtoolbox.com/diagnostic.aspx
La cuarta comprobación de la lista (Relay Check) te dirá si tu
servidor está funcionando como un open relay.
Si esta prueba da OK, yo no me preocuparía demasiado por el tema. Aún
así, deberías "educar" a Spamassasin para filtrar esos correos que
mencionas. También hay una opción en la Consola de Admin. de Zimbra
para que Spamassasin compruebe que la IP y el dominio del remitente se
corresponden; eso pararía estos correos tan molestos (aunque frente a
otros remitentes puede provocar falsos positivos: OJO).
Espero haberte ayudado, un saludo.
On 4 dic, 01:54, kazabe <kaz...@gmail.com> wrote:
> holas.
>
> Estoy detectando que varios usuarios estan comenzando a recibir spam enviado
> aparentemente por ellos mismos. La cuenta origen aparece como si fuera la
> misma cuenta del usuario.
>
> Comence entonces a realizar pruebas por telnet, y encuentro que puedo enviar
> correos a cualquier usuario, simplemente usando comandos smtp.
>
> <prueba>
>
> telnet mail.midominio.net 25
> Trying 190.144.5.56...
> Connected to mail.midominio.net.
> Escape character is '^]'.
> 220 mail.midominio.net ESMTP Postfix
> helo mail.midominio.net
> 250 mail.midominio.net
> 250 2.1.0 Ok
> RCPT TO: otrousua...@midominio.net
amperis
Dec 4, 2008, 3:32:46 PM12/4/08
to zimbr...@googlegroups.com
creo que fenix lo ha explicado muy bien... no puedes evitar que alguien envie correo pasandose por otra persona...
Para eso se inventaron hace tiempo las firmas digitales.
Lo que tienes que hacer primero, es asegurarte que tú servidor no hace de relay abierto, es decir que cualquiera que no sea de tú dominio pueda enviar a cualquier otra
persona que no sea de tú dominio.
Otra cosa que puedes hacer es que si alguien quiere enviar correo por tu servidor SMTP debe autenticar con login/psw. Esto se le llama autentificacion de SMTP y Zimbra lo permite.
En cuanto a que la gente pueda hacer telnet al 25 (o SMTP), puedes hacer una cosa... cierra el 25 por el iptables y no entrará ni dios..... pero logicamente tampoco
te irá ningun outlook. No es posible evitar que nadie haga telnet.
Para eso se inventaron hace tiempo las firmas digitales.
Lo que tienes que hacer primero, es asegurarte que tú servidor no hace de relay abierto, es decir que cualquiera que no sea de tú dominio pueda enviar a cualquier otra
persona que no sea de tú dominio.
Otra cosa que puedes hacer es que si alguien quiere enviar correo por tu servidor SMTP debe autenticar con login/psw. Esto se le llama autentificacion de SMTP y Zimbra lo permite.
En cuanto a que la gente pueda hacer telnet al 25 (o SMTP), puedes hacer una cosa... cierra el 25 por el iptables y no entrará ni dios..... pero logicamente tampoco
te irá ningun outlook. No es posible evitar que nadie haga telnet.
2008/12/4 fenix <o.navarr...@gmail.com>
fenix
Dec 5, 2008, 3:46:43 AM12/5/08
to zimbra grupo
Y puedes plantearte usar SPF; de esta forma, los receptores de
vuestros mensajes tendrán forma de saber que realmente sois vosotros;
la firma digital es más segura, por supuesto, pero más difícil de
implementar, sobre todo a nivel usuario.
Kazabe, no creo que esos mensajes se estén generando desde tu
servidor; un spammer no se va a tomar tantas molestias para enviarle
correo sólo a tus usuarios (a no ser que estés administrando Hotmail
jeje). Seguramente estén usando un open relay en alguna parte, y no
sólo te estén enviando los mensajes a tí.
Por ejemplo, uno de los clientes en mi curro ha tenido ese problema, y
los mensajes venían de un servidor de Rusia.
Por lo que has comentado (si entiendo bien lo que te pasa, que creo
que sí, pero a lo mejor me faltan datos), lo que yo haría en este caso
sería identificar la IP del remitente a través de las cabeceras SMTP
de los mensajes; blacklistar esa dirección IP para evitar que me
llegue más porquería (incluso puedes definir una ACL para evitar que
desde esa IP se ataque al puerto 25 de vuestra máquina), y acto
seguido informar al admin de ese dominio (dudo mucho que sepa que está
enviando spam).
Puede ser complicado localizar al admin, pero a veces hay suerte y
existe alguien que lee el correo que llega a las cuentas abuse o
postmaster de un dominio.
Suerte.
On 4 dic, 21:32, amperis <ampe...@gmail.com> wrote:
> creo que fenix lo ha explicado muy bien... no puedes evitar que alguien
> envie correo pasandose por otra persona...
> Para eso se inventaron hace tiempo las firmas digitales.
>
> Lo que tienes que hacer primero, es asegurarte que tú servidor no hace de
> relay abierto, es decir que cualquiera que no sea de tú dominio pueda enviar
> a cualquier otra
> persona que no sea de tú dominio.
> Otra cosa que puedes hacer es que si alguien quiere enviar correo por tu
> servidor SMTP debe autenticar con login/psw. Esto se le llama
> autentificacion de SMTP y Zimbra lo permite.
>
> En cuanto a que la gente pueda hacer telnet al 25 (o SMTP), puedes hacer una
> cosa... cierra el 25 por el iptables y no entrará ni dios..... pero
> logicamente tampoco
> te irá ningun outlook. No es posible evitar que nadie haga telnet.
>
> 2008/12/4 fenix <o.navarro.sanc...@gmail.com>
vuestros mensajes tendrán forma de saber que realmente sois vosotros;
la firma digital es más segura, por supuesto, pero más difícil de
implementar, sobre todo a nivel usuario.
Kazabe, no creo que esos mensajes se estén generando desde tu
servidor; un spammer no se va a tomar tantas molestias para enviarle
correo sólo a tus usuarios (a no ser que estés administrando Hotmail
jeje). Seguramente estén usando un open relay en alguna parte, y no
sólo te estén enviando los mensajes a tí.
Por ejemplo, uno de los clientes en mi curro ha tenido ese problema, y
los mensajes venían de un servidor de Rusia.
Por lo que has comentado (si entiendo bien lo que te pasa, que creo
que sí, pero a lo mejor me faltan datos), lo que yo haría en este caso
sería identificar la IP del remitente a través de las cabeceras SMTP
de los mensajes; blacklistar esa dirección IP para evitar que me
llegue más porquería (incluso puedes definir una ACL para evitar que
desde esa IP se ataque al puerto 25 de vuestra máquina), y acto
seguido informar al admin de ese dominio (dudo mucho que sepa que está
enviando spam).
Puede ser complicado localizar al admin, pero a veces hay suerte y
existe alguien que lee el correo que llega a las cuentas abuse o
postmaster de un dominio.
Suerte.
On 4 dic, 21:32, amperis <ampe...@gmail.com> wrote:
> creo que fenix lo ha explicado muy bien... no puedes evitar que alguien
> envie correo pasandose por otra persona...
> Para eso se inventaron hace tiempo las firmas digitales.
>
> Lo que tienes que hacer primero, es asegurarte que tú servidor no hace de
> relay abierto, es decir que cualquiera que no sea de tú dominio pueda enviar
> a cualquier otra
> persona que no sea de tú dominio.
> Otra cosa que puedes hacer es que si alguien quiere enviar correo por tu
> servidor SMTP debe autenticar con login/psw. Esto se le llama
> autentificacion de SMTP y Zimbra lo permite.
>
> En cuanto a que la gente pueda hacer telnet al 25 (o SMTP), puedes hacer una
> cosa... cierra el 25 por el iptables y no entrará ni dios..... pero
> logicamente tampoco
> te irá ningun outlook. No es posible evitar que nadie haga telnet.
>
Reply all
Reply to author
Forward
0 new messages