-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-12-13 a las 22:59 +0100, Josep M. Queralt escribió:
La duda que tengo es si le atacan directamente a él, o es de rebote.
Es relativamente sencillo saberlo, coger unas cuantas IPs al azar y pasarlas por DNSstuff.
Ah, pues eso se lo dejo al iniciador del hilo
Mirar si se corresponden con servidores de Internet o bien son IP dinámicas y, ya de paso, mirar si tienen una procedencia geográfica común.
Los nombres que se veían en el listado del netstat parecían normales la mayoría.
Es como si alguien estuviera spameando masivamente a todo el mundo usando como remite direcciones del domnino de la victima; muchos de estos correos tienen destinatarios inexistentes u otros problemas y son rebotados a la victima.
Haber, yo tengo varios dominios en esta situación desde hace un par o tres de semanas.
Me rebotan los mensajes que mandan falsos usuarios del tipo xlc@dominio.com o sdf@dominio.com pero eso me genera un "extra" que no supera los 500 mensajes diarios y solo me ha ocurrido en dominios alojados en servidores con SendMail ya que los que tengo con Postfix rechazan los rebotes, pero ya te digo, no supone ninguna cantidad alarmante como para ir al colapso, solo se trata de "spammers" hij*s de p*ta" que han cogido nombres que yo tengo la desgracia de gestionar.
Eso es la impresión que yo tengo.
La otra posibilidad que se me ocurre leyendote es que la victima sea intencionada, y los rebotes son falsos.
De los "logs" que se pusieron por aquí me llamó la atención que muchos mensajes carecían del "From", eran "From:< >".
Si, pero eso me dijeron hace tiempo que es normal cuando se trata de un rebote, y es una indicación de que ese correo debe aceptarse y no rechazarse; claro, que el problema es que el destinatario no existe y hay que rechazarlos. Es una situación peculiar: se trata de correos de los que no existe ni el destinatario ni el remitente, y son rechazados por ambos extremos. Sin embargo... hay otro detalle peculiar que no me había fijado. Si el destinatario del correo no existe, el sistema destinatario no acepta el correo, pero no genera un correo de rechazo, sino que simplemente indica un motivo y se corta la conexión smtp. ¡Luego entonces hay un tercer servidor intermedio que es el culpable! A ver si me explico. La situación original es esta: spammer victima 2 intermediario destinatario (victima 1) A B C El spammer tiene acceso como relay en el intermediario B, y le mete correos con destino C y "from" A. Los mete, y desaparece. El B, que es un servidor de correo decente pero quizás mal configurado trata de enviarlo a C, pero C ve que el usuario de destino no existe y no llega a aceptar el correo. Entonces el B, que tragó indebidamente el correo (hace de relay) se encuentra con un correo que no puede entregar y que tiene que devolver. ¿A quien? Al spammer no, porque ha desaparecido. Pues a la segunda victima inocente.... a A, y se lo envía con "envelope from" en blanco porque es el postmaster quien envía el correo de rechazo. Y finalmente 'A' tampoco acepta esos rechazos porque su destinatario tampoco existe. Si ésta hipótesis es cierta, hay un spammer, dos victimas, y un gi... te tiene un relay abierto, y que es el culpable de todo. ¿Puede ser eso?
De todas maneras no es necesario mandar nada para intentar el ataque.
Con pedir la conexión al puerto 25 y dejar la conexión abierta hasta que el SMTP se canse es suficiente. Una sola no hace daño, aunque lo haga muchas veces, pero si son varios centenares a la vez ya me dirás. :-(
Eso es verdad.
Para saber si los rebotes son falsos habría que hacer lo que decía al principio del ensaje e investigar un poco.
Si, tienes razón. Es un poquillo pesado, claro. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFgJ/xtTMYHG2NR9URAn4sAJ9GNLPc/vDZruQLcwrEDANLJFT/uwCbBKsh pc7Bfm8J1c+9TXFKyyfxbAM= =mJad -----END PGP SIGNATURE-----