El 11/07/2006 1:29:57 Juan Erbes escribió: jerbes> Todos los dias cambias de dirección ip? jerbes> jerbes> podrian ayudarme a eliminar jerbes> jerbes> > cada posible fallo que este ocurriendo con mi servidor de correos? jerbes> jerbes> Es posible que tu servidor esté haciendo de openrelay de correo jerbes> basura; es lo unico que se me ocurre. No seamos tan trágicos :-) También puede ser que no haga la resolución inversa o que tenga una IP pública dinámica. Lo mejor sería pasarle los tests de http://www.dnsstuff.com, en especial el de "Spam database lookup" y ver qué motivos se aducen para poner la IP o dominio en lista negra. -- Saludos, Josep M. Queralt

On 11/07/06, Camaleón wrote:

2006/7/10, Juan Carlos Bravo Celis:

...

me estoy dando con un problemita, es que todos los dias ponen a mi servidor de correos en alguna lista negra, podrian ayudarme a eliminar cada posible fallo que este ocurriendo con mi servidor de correos?

Haz una prueba sencilla: desde un ordenador remoto (no conectado dentro de tu red) intenta enviar un correo utilizando tu servidor. Si te deja, mal asunto, tendrás que revisar la configuración para impedir esta situación. Lo normal es que Postfix te permita enviar correos desde los equipos de tu red local, pero no desde fuera.

También es posible que la dirección IP que te hayan asignado (la externa) estuviera ya en alguna lista negra, por lo que tendrás que ir dándolas de baja.

he realizado las prueba de enviar correos desde fuera de mi Red, y no me permite realizarlo, lo hice usando el telnet puerto 25, y me manda un mensaje de relay denied. Conocen alguna pagina web confiable que pueda hace un diagnostico a mi Servidor de correo.? Saludos JCarlos -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

de las listas negras salís a través de http://www.spamhaus.org/ a mi servidor lo puso un marido celoso alemán así que podes estar por cualquier cosa ----- Original Message ----- From: "Carlos E. R." To: "SLS" Sent: Thursday, July 13, 2006 4:29 PM Subject: Re: [suse-linux-s] No quiero estar en las listas negras

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

El 2006-07-13 a las 14:25 -0500, Juan Carlos Bravo Celis escribió:

...

Conocen alguna pagina web confiable que pueda hace un diagnostico a mi Servidor de correo.?

¿Y porqué no nos dices quien te ha metido en qué listas negras y porqué? Y así acabamos antes y no damos palos de ciego.

- -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76

iD8DBQFEtp8ctTMYHG2NR9URAqCoAJ9l35fTSu5mPLimpRZMh3nMaD1siwCfWW3f 0VTQAM6IjIPzlm93m4Emzls= =K3qx -----END PGP SIGNATURE-----

--------------------------------------------------------------------------------------------------- Texto añadido por Panda Client Shield:

Este mensaje NO ha sido clasificado como SPAM. Si se trata de un mensaje de correo no solicitado (SPAM), haz clic en el siguiente vínculo para reclasificarlo: http://127.0.0.1:6083/Panda?ID=pav_31977&SPAM=true ---------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------

-- Para dar de baja la suscripcisn, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

On 13/07/06, Carlos E. R. wrote:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

El 2006-07-13 a las 17:35 -0300, juan graña escribió:

...

de las listas negras salís a través de http://www.spamhaus.org/ a mi servidor lo puso un marido celoso alemán así que podes estar por cualquier cosa

Por eso, hasta que Juan Carlos no nos diga el motivo por el que lo listan, no podemos decirle como solucionarlo. Estamos dando vueltas a lo tonto.

tienes razon Carlos, me puse a invesigar un poco del porque aparezco en esas listas siempre, utilice la siguiente web http://www.mxtoolbox.com/blacklists.aspx y siempre salgo listado en JAMMDNSBL segun esta web, la razon es la siguiente: Return codes were: 127.0.0.20 les describo un poco como esta configurada mi red para mi servidor de correos, mi firewall tiene ip 200.x.y.220 y segun el DNS, la direccion de : correo.midominio.com es 200.x.y.214 y la direccion de mail.midominio.com es 200.x.y.212 , tengo por investigar algunas cosas del porque aparecen estos dos hosts de mi dominio, cuando solo tengo un servidor de correos. ahora, mi servidor de correo tiene un ip privado, y sale mediante nat en el firewall, a la direccion 200.x.y.212, creen que ese podria ser la razon del error que me muestra JAMMDNSBL..? Saludos JCarlos -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-07-14 a las 10:03 +0200, Camaleón escribió:

2006/7/14, Juan Carlos Bravo Celis:

...

utilice la siguiente web http://www.mxtoolbox.com/blacklists.aspx y siempre salgo listado en JAMMDNSBL segun esta web, la razon es la siguiente:

Return codes were: 127.0.0.20

Eso no es decir nada. Eso unicamente dice que estás. Tienes que ir a "http://www.jammconsulting.com/policies/dnsbl.shtml" y volver a introducir tu IP - yo no puedo hacerlo, ya que no dices tu IP.

Si sólo aparece tu IP en esta lista, escríbeles y diles que desde tu dirección IP no se envían correos no solicitados para que la quiten de su base de datos.

¡No! Primero hay que eliminar la causa, y luego escribirles. Si les escribes sin solucionarlo primero, te volverán a meter, y ya no te harán caso la próxima. ¡Y ojo! Juan Carlos no se de que país es, pero siendo de hispanoamerica, estará eternamente en esa lista y no le borrarán por ningún motivo, es inútil: ] In order to protect ourselves, we actively block all ISPs we encounter ] from these regions: ] ] * Carribean Islands <=== ] * Central America <== ] * China ] * Hong Kong ] * Korea ] * Mexico <== ] * Japan ] * Russia and the former Soviet republics ] * Singapore ] * South America <=== ] * Taiwan ] * Thailand ] * Vietnam ] ] If you are located in one of these regions, your servers will not be ] removed from the list. ] You may wish to contact the people using our list and let them know how ] this list is constructed so they may decide whether they wish to continue ] using it. Esta gente es, en mi opinión, imbécil. Simplemente bloquean a todos los ISPs de esos paises porque allí, dicen, hay muchos spammers. Pues no se, yo la mayoría del spam que recibo es de viagra y farmacias canadienses y usanianas. La única manera es convencer a los idiotas (en mi opnión) que usan la lista JAMM de que no la usen. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEt44rtTMYHG2NR9URAjvOAKCIn6T6ZiiuAI1KnCher4t1zdRFxgCfUvDp QjL9qaJp3Uh7dUJhKGEnJUU= =N/a4 -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

On 14/07/06, Camaleón wrote:

El 14/07/06, Carlos E. R. escribió:

...

¡No!

Primero hay que eliminar la causa, y luego escribirles. Si les escribes sin solucionarlo primero, te volverán a meter, y ya no te harán caso la próxima.

Hum. He dicho "si sólo aparece en esa lista", lo cual sugiere a posibilidad de que esa IP perteneciera antes a otra empresa / persona que se dedicaba a enviar mensajes de spam. Si te asignan una IP fija que está "sucia" y tu servidor de correo (como ya ha comentado Juan Carlos) no permite hacer relays externos, es de suponer que el problema es de la IP...

Segun he averiguado, esta ip le ha pertenecido a la empresa donde trabajo, desde hace varios años, aproximadamente hace un año y medio que se cambio de Lotus a Postfix, confiamos muhco en el rendimiento de Linux y Postfix, no mantenemos muchas cuentas de correo, son aproximadamente 600, antes aparecia en las listas negras pero muy esporadicamente, y estas ultimas semanas casi todos los dias.

...

Esta gente es, en mi opinión, imbécil. Simplemente bloquean a todos los ISPs de esos paises porque allí, dicen, hay muchos spammers. Pues no se, yo la mayoría del spam que recibo es de viagra y farmacias canadienses y usanianas.

Más "tarados" son los que utilicen esa lista para clasificar el spam. La mayoría de esas listas tienen políticas un tanto absurdas (como esa) y no tienen registros actualiziados.

...

La única manera es convencer a los idiotas (en mi opnión) que usan la lista JAMM de que no la usen.

Pues tienes razon, la lista JAMM me parece demasiado rigida. Para que puedan ayudarme mejor, mi dominio es http://www.serpost.com.pe. Estoy al tanto de sus comentarios, pues quiero que mis servidores este Ok. Saludos JCarlos -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

El 14/07/2006 16:24:18 Camaleón escribió: noelamac> > Para que puedan ayudarme mejor, mi dominio es http://www.serpost.com.pe. noelamac> noelamac> Aquí tienes los motivos, al menos los de la IP del servidor web (200.60.65.211): acabo de hacerle el test de DNSSTUFF (te dije que lo hicieras) y estás listado en varios sitios. El motivo está en que tienes un "OPEN PROXY". http://www.ahbl.org/tools/lookup.php?ip=200.60.65.211 http://dsbl.org/listing?200.60.65.211 http://www.sorbs.net/lookup.shtml?200.60.65.211 además es grave ya que hay alguna de muy popular yporque en algunas ya has solicitado salir sin haber arreglado el problema. -- Saludos, Josep M. Queralt

El 14/07/06, Carlos E. R. escribió:

Ahora, uno que sepa como se arregla eso que te lo cuente.

Es un fastidio, más que nada porque si te fijas en la fecha habla del año 2003, es posible que ese servicio ya no lo tengan en funcionamiento: "Message Received: 2003/11/26 23:37:33 UTC" http://dsbl.org/relay-methods#HTTPCONNECTrelaying Puede empezar por intentar eliminar su IP: http://dsbl.org/removalquery Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-07-14 a las 11:34 -0500, Juan Carlos Bravo Celis escribió:

negras, segun Carlos es Open Proxy, aun no se que significa eso, pero ya lo estoy investigando, aunque aun no me ha dicho de donde saco esa informacion y para que numero de Ip le ha dado ese resultado, asi

Del sitio que dijiste, http://www.mxtoolbox.com/blacklists.aspx y la IP de arriba que es la que corresponde al nombre de pagina web que dijiste. Dos ejemplos: AHBL Listed LISTED Open Proxy - Detail Return codes were: 127.0.0.3 3595 16 SORBS-BLOCK Listed LISTED SOCKS Proxy See: Detail Return codes were: 127.0.0.3 3595 31 Pinchas en detalles, y te los da. O te vas al enlace del reportador, e interrogas por nombre o por IP, y te los da. Es facil. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEt+z8tTMYHG2NR9URAorXAKCVzm0PdIElcw9VQOC67JaiF9Wb8wCgkXZl TVCa1XV1MKkCAbC4tAIW7Fg= =fFtY -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

On 17/07/06, Victor Hugo dos Santos wrote:

2006/7/14, Juan Carlos Bravo Celis :

...

On 14/07/06, Camaleón wrote:

...

El 14/07/06, Carlos E. R. escribió:

...

Ahora, uno que sepa como se arregla eso que te lo cuente.

Es un fastidio, más que nada porque si te fijas en la fecha habla del año 2003, es posible que ese servicio ya no lo tengan en funcionamiento:

"Message Received: 2003/11/26 23:37:33 UTC" http://dsbl.org/relay-methods#HTTPCONNECTrelaying

Puede empezar por intentar eliminar su IP:

http://dsbl.org/removalquery

Segun pude averiguar, la IP 200.60.65.211 hace mucho tiempo que no se usa, y que por un problema de virus fue bloqueada por muchas entidades, obligandonos a cambiarla por la actual ip del firewall,

mmm.. se es asi y ya no tienes el proxy abierto, debe de ir en cada una de BD donde estas listado y solicitar para que hagan una nueva prueba... se realmente tienes bien configurado vuestro proxy, entonces deberian de sacar vuestra IP de las DB.

obs.: los medios para pedir para rehacer las pruebas varian de uno para otro, pero generalmente es atraves de un formulario o un correo como solicitude !!!

...

solo me queda averiguar que esta causando que me pongan en las listas negras, segun Carlos es Open Proxy, aun no se que significa eso,

es case como tener un open relay !!! los spammers pueden utilizar vuestro open proxy para enviar correo (no tengo la menor idea de como hacer esto !!! :-)) y por esto se considera algo grave !!!!

Gracias Victor Hugo, estoy revisando cada uno de mis servidores, y estyo es lo que tengo en mi squid, que podria considerar para mi analisis, puede que algo haya por demas. QUERY URL Path Regexp cgi-bin \? password External Auth REQUIRED all Client Address 0.0.0.0/0.0.0.0 manager URL Protocol cache_object localhost Client Address 127.0.0.1/255.255.255.255 to_localhost Web Server Address 127.0.0.0/8 SSL_ports URL Port 443 563 Safe_ports URL Port 80 81 8080 2020 # http Safe_ports URL Port 21 # ftp Safe_ports URL Port 443 563 # https, snews Safe_ports URL Port 70 # gopher Safe_ports URL Port 210 # wais Safe_ports URL Port 1025-65535 # unregistered ports Safe_ports URL Port 280 # http-mgmt Safe_ports URL Port 488 # gss-http Safe_ports URL Port 591 # filemaker Safe_ports URL Port 777 # multiling http Allow manager localhost Deny manager Deny !Safe_ports Deny CONNECT !SSL_ports por favor, si encuentran algo que este fuera de lugar diganmelo, pues tengo una ardua tarea por delante. Saludos JCarlos -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

On 17/07/06, Victor Hugo dos Santos wrote:

2006/7/17, Juan Carlos Bravo Celis :

...

On 17/07/06, Victor Hugo dos Santos wrote:

...

2006/7/14, Juan Carlos Bravo Celis :

...

On 14/07/06, Camaleón wrote:

...

El 14/07/06, Carlos E. R. escribió:

...

Ahora, uno que sepa como se arregla eso que te lo cuente.

Es un fastidio, más que nada porque si te fijas en la fecha habla del año 2003, es posible que ese servicio ya no lo tengan en funcionamiento:

"Message Received: 2003/11/26 23:37:33 UTC" http://dsbl.org/relay-methods#HTTPCONNECTrelaying

Puede empezar por intentar eliminar su IP:

http://dsbl.org/removalquery

Segun pude averiguar, la IP 200.60.65.211 hace mucho tiempo que no se usa, y que por un problema de virus fue bloqueada por muchas entidades, obligandonos a cambiarla por la actual ip del firewall,

mmm.. se es asi y ya no tienes el proxy abierto, debe de ir en cada una de BD donde estas listado y solicitar para que hagan una nueva prueba... se realmente tienes bien configurado vuestro proxy, entonces deberian de sacar vuestra IP de las DB.

obs.: los medios para pedir para rehacer las pruebas varian de uno para otro, pero generalmente es atraves de un formulario o un correo como solicitude !!!

...

solo me queda averiguar que esta causando que me pongan en las listas negras, segun Carlos es Open Proxy, aun no se que significa eso,

es case como tener un open relay !!! los spammers pueden utilizar vuestro open proxy para enviar correo (no tengo la menor idea de como hacer esto !!! :-)) y por esto se considera algo grave !!!!

Gracias Victor Hugo, estoy revisando cada uno de mis servidores, y estyo es lo que tengo en mi squid, que podria considerar para mi analisis, puede que algo haya por demas.

QUERY URL Path Regexp cgi-bin \? password External Auth REQUIRED all Client Address 0.0.0.0/0.0.0.0 manager URL Protocol cache_object localhost Client Address 127.0.0.1/255.255.255.255 to_localhost Web Server Address 127.0.0.0/8 SSL_ports URL Port 443 563 Safe_ports URL Port 80 81 8080 2020 # http Safe_ports URL Port 21 # ftp Safe_ports URL Port 443 563 # https, snews Safe_ports URL Port 70 # gopher Safe_ports URL Port 210 # wais Safe_ports URL Port 1025-65535 # unregistered ports Safe_ports URL Port 280 # http-mgmt Safe_ports URL Port 488 # gss-http Safe_ports URL Port 591 # filemaker Safe_ports URL Port 777 # multiling http

Allow manager localhost Deny manager Deny !Safe_ports Deny CONNECT !SSL_ports

por favor, si encuentran algo que este fuera de lugar diganmelo, pues tengo una ardua tarea por delante.

certeza que este es vuestro /etc/squid/squid.conf ???? mmm.. lo veo raro, ya que con esta configuracion no debeira de funcionar como open proxy ni como proxy interno para vuestros clientes !!! :-D

no tengras otro archivo o otro programa (squidguard, por ejemplo) funcionando por alla ???

He reinstalado desde cero, antes tenia la version Suse 9.1, le intale la 10.1 y la unica regla que le puse al squid, es la que me sugeriste, mañana voy a agregar las demas reglas que tenia antes, pues lo uso con autenticacion,, de igual forma estoy revisando cada uno de los demas servidores, y actualizandolos en los que se pueden. hay una duda que me salta, y es sobre como puedo hacer pruebas desde mi casa, para determinar si todavia tengo open proxy..? Saludos JCarlos -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-07-17 a las 12:15 -0400, Victor Hugo dos Santos escribió:

mmm.. se es asi y ya no tienes el proxy abierto, debe de ir en cada una de BD donde estas listado y solicitar para que hagan una nueva prueba... se realmente tienes bien configurado vuestro proxy, entonces deberian de sacar vuestra IP de las DB.

obs.: los medios para pedir para rehacer las pruebas varian de uno para otro, pero generalmente es atraves de un formulario o un correo como solicitude !!!

Yo haría otra cosa antes. De las listas negras unas son primarias y otras secundarias (mi definición). Es decir, algunos son investigadores originarios, son los que averiguan o descubren quien merece ser listado. Los secundarios se limitan a replicar los datos descubiertos por otros. Hay que averiguar quienes los los primarios, porque tendrán listado el motivo de la inclusión. Según el tipo de lista negra puede ser una denuncia de parte, como puede ser un email con un forward de un spam recibido. En el caso del proxy abierto, creo que lo hacen comprobando con un script que tal IP es realmente un proxy abierto, porque me pareció ver el script de marras en alguna de las webs de listas negras. O bien, como dijo alguien en este hilo, contratar a un especialista en seguridad y que lo averigue y te lo limpie. Yo no me dedico a eso, soy un amateur con curiosidad. Un experto lo debe resolver en una mañana. Y, en mi opinión, resolver ese problema de seguridad es primordial y más importante que cualquier otra tarea informática en la empresa. A saber que otros problemas de seguridad pueda haber. El tener una IP registrada como open proxy en listas negras durante años dice muy poco de la fiabilidad de una empresa, no solo en informática, sino en cualquier aspecto: da una imagen de dejadez impresionante. Así que más valen que hagan una buena investigación de seguridad informática, y una vez seguros de que no hay nada, pedir la exclusión de las listas negras, una a una. Y si hay que dejar a la gente sin correo mientras se resuelve, pues se les deja, que usen hotmail mientras tanto: se lo merecen por.... lo que sea. Jo, que negra me ha salido la bronca :-P - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEvBNqtTMYHG2NR9URAo3FAKCC1MezyCvFrlpIwQt3hH9yxJCbrQCeMjvp taouXWd6r7E/K8+JW6Agbtw= =yGqx -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-07-14 a las 19:21 +0200, Josep M. Queralt escribió:

Basicamente un "open proxy" significa que alguien utiliza un servidor HTTP para enmascarar su auténtica IP y dedicarse con la IP del "proxy" a hacer maldades. Como no son muy imaginativos se usan básicamente para mandar correo "spam" a través del servidor local utilizando el usuario "wwwrun" (apache) del mismo

Con lo que el mismo ha dicho que hace años cerraron la IP por virus, pues eso mismo. Algo me pareció leer en algunos de los reportadores, por encima. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEt+1YtTMYHG2NR9URAgqnAJ0QnjKF9CZKf0O+1qBwjjAovThZCQCeM/Lh gKZUiXQOqwK2gL96qIjEDds= =U+8Q -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

On 15/07/06, Josep M. Queralt wrote:

...

Con lo que el mismo ha dicho que hace años cerraron la IP por virus, pues eso mismo. Algo me pareció leer en algunos de los reportadores, por encima.

Decía algo más. :-)

Decía que en las "últimas semanas casi todos los días". (Aparecían en las BL).

Eso indica que el problema no se resolvió, sino que simplemente se tapó dejando de usar esa IP, pero que el "proxy" sigue abierto.

Probablemente si ahora se produce el problema "casi todos los días" debe ser porque la IP no solo está en las DNSBL, sino que, seguramente, también está en los listados de proxys abiertos para que cualquiera los pueda utilizar.

De hecho yo mismo he escrito varias veces sobre el tema e incluso e puesto URL de listados de esos proxies. (proxy4free.com)

Conecatr con la mayoría de estos "proxies" es perfectamente legal ya que están en internet para eso, es decir, son proxies públicos, pero claro, los robots que los buscan y os listan no distinguen entre si es voluntad del propietario tenerlos abiertos o no.

Por otro lado, el proxy abierto puede usarse para muchas cosas, algunas buenas, como preservar la privacidad del usuario o para cosas malas como la que nos ocupa, y un listado de proxies abiertos también sirve para que los administradores de sistemas y webmasters que lleven estrictamente la política de que "más vale prevenir que curar" copien integramente el listado en la parte de su firewall dedicada a denegar accesos de IP's indeseadas.

Y como puedo solucionar esto...? en los ultimos dias lo unico que hacia es solicitar que me quitaran de las listas negras, pues la empresa no puede quedarse paralizada, y a la par tenia mucho trabajo configurando otros servidores que porla prioridad que tenian de atender a los clientes fui dejando al final el servidor de correos, y probablemente como mencionas fui empeorando el tema, para comenzar he solicitado que en las 47 oficians remotas que tengo se haga una revision complta de que todos los sistemas operativos de los equipos tengan todos los parches y el antivirus actualiazdo y una limpieza total de cada maquina,,, pero eso toma tiempo y por lo pornto ahora que la carga dura ha culminado, ya tengo tiempo para configurar el servidor de correos correctamente, a fin de que no lo usen para que les envien spam desde mi servidor,,, es por ello que les pedi que me guien un poco en como solucionar este problema, nome regañen si me equivoque en algo. Saludos, JCarlos -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

On 16/07/06, Josep M. Queralt wrote:

...

On 15/07/06, Josep M. Queralt wrote:

...

Y como puedo solucionar esto...? en los ultimos dias lo unico que hacia es solicitar que me quitaran de las listas negras,

No lo hagas sin antes encontrar y solucionar el problema. La primera vez te harán caso y te quitarán, pero si se repite el problema ya no te quitarán jamás.

...

que la carga dura ha culminado, ya tengo tiempo para configurar el servidor de correos correctamente, a fin de que no lo usen para que les envien spam desde mi servidor,,, es por ello que les pedi que me

Tu problema NO es el servidor de correo. El servidor está bien, aunque quizá podrías instalarle la opción de obligarle a "recoger correo antes de enviar", aunque yo creo que eso no te solucionaría nada.

Tu problema se llama "open proxy" y te ejecutan un ataque a través de HTTP usando la propia IP de tu servidor.

Como el atacante usa tu IP (y probablemente el usuario de Apache) el servidor de correo considera legítimo sus mensajes y los envía.

Está bien que hayas ordenado la revisión de los ordenadores clientes aunque no es probable que tengas el problema ahí.

Tienes que asegurar la máquina que se usa de servidor (y no solo para el correo).

1.- No has dicho si tienes SQUID instalado. En caso afirmativo es lo primero que tienes que mirar. Revisa que esté correctamente configurado. SQUID es un programa de "proxy". Si está mal configurado es más que probable que sea el origen del problema.

Tengo varios servicios en mi red, cada servicio se encuentra en una maquina diferente, en la DMZ, tengo un servidor web, un servidor de correo, un servidor ftp. tambien tengo una maquina que hace netamente de Proxy con el Squid, esta es mi red, INTERNET----FW---------PROXY---------LAN-----WAN \ FW \ / \ / DMZ (WEB,CORREO,FTP) el servidor de correo, ademas del postfix tiene el openexchange apache2 y tomcat en una misma maquina.

Asegúrate de tener actualizado todo el software que se usa en el servidor. Hay otros programas que pueden provocar un "open proxy".

Es lo primero que voy ha hacer, en cuanto llegue al trabajo.

2.- Postfix dispone de un par de utilidades para intentar detectar el origen del problema, instala los "addons" y actúa según los resultados

http://www.postfix.org/addon.html

lo hare y les comentare sobre los resultados y acciones que tome.

3.- No estaría de más que instalaras "Antivir" en el sistema y escanearas el servidor regularmente.

http://www.free-av.com/

tambien lo hare,

4.- Revisa que no haya ejecutables extraños en los directorios "/tmp" del servidor (normalmente son scripts en perl (.pl) o en bash (.sh)

les comentare que encontre en cuanto llegue al trabajo.

5.- Haz un scaneo de puertos externo del servidor por si saliera algo raro, aunque con el "open proxy" se suelen utilizar puertos normalmente abiertos relacionados con HTTP (80, 8080, 3128 ....)

recientemente hemos solicitado un scaneo etico a una empresa especializada, y no encontro puertos abiertos desde afuera mas que los necesarios para los servicios que tenemos.

6.- Mírate los logs del servidor de correo e intenta detectar que usuario se está usando para enviar el "spam" masivo. Si has detectado devoluciones masivas de mensajes por usuario desconocido, mírate las cabeceras ("headers") de algunos de ellos, pueden ayudarte a identificar el origen del problema.

...

Si todo falla deberías desconectar la máquina de la red y hacer una nueva instalalción limpia. Ya se que suena muy bestia, pero es lo más prudente. Antes de hacer esto también puedes contactar con algún experto en seguridad informática para que de con el origen del problema.

que servidor es el que deberia volver a instalar de Cero si me viera en esa situacion.? por lo pronto voy a enfocarme en el servidor proxy, y revisar sus actualizaciones y su configuracion. se que me espera una ardua labor, pero es inevitable que vuelva a solicitar que me saquen de la lista negra, pues necesito que la empresa continue operando. Saludos JCarlos -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

El 14/07/06, Carlos E. R. escribió:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

El 2006-07-14 a las 09:08 -0500, Juan Carlos Bravo Celis escribió:

...

Pues tienes razon, la lista JAMM me parece demasiado rigida. Para que puedan ayudarme mejor, mi dominio es http://www.serpost.com.pe.

Vale, estás listado en muchos sitios, pero porque eres un "Open Proxy".

Address and Port: 200....:13374 Record Created: Wed Nov 26 22:46:32 2003 GMT Record Updated: Wed Nov 26 22:46:39 2003 GMT Additional Information: Confirmed open socks4 proxy: wed, 26 nov 2003 22:45:40 gmt

Ahora, uno que sepa como se arregla eso que te lo cuente.

mmm.. facil !!! ;-) se debe de crear un "Closed Proxy" !!! mmm.. para esto, en el squid, se debe de crear ACLs para permitir que solamente los de vuestra red utilicen vuestro proxy acl all src 0.0.0.0/0 acl localhost src 127.0.0.1 acl mi_red src 192.168.0.0/24 allow mi_red localhost deny all o bien bloquear el acesso al proxy desde internet con el cortafuegos !!! iptables -i eth1 -p tcp -dport 8080 -j DROP obs.: los ejemplos los escribo de memoria y puede que tengan algo malo... en el caso del ejemplo de iptables, el correcto seria tener todo cerrado y crear reglas para abrir los puertos que se necesitan !!!! salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-07-17 a las 12:03 -0400, Victor Hugo dos Santos escribió:

se vuestro problema es solamente con JAMMDNSBL entonces, olvidalo, tiene a medio mundo en su base de datos, en especial a los latinos!!! el correcto en este caso es no utilizar esta RBL..

No, está en una docena más de listas. No se porqué se fijó en esa.

vea la pagina de ellos donde mencionan lo que escribo:

Ya lo dije yo el viernes ;-) - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEvBXntTMYHG2NR9URApNBAJ0SoV6v2q5KsGErtHSCgr8H+64iXQCdFZDz IhTEkMaQOHSgJIVe3sv8lHE= =arVT -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

Hola amigos, debido a que no pude parchar el squid con el follow_x_forwarded ya que no lo soporta el squid que vienen con el suse 10.0, quiero configurar el squid para que este entre mis clientes windows y el dansguardian, es decir que sea el dansguardian el que esté hacia el internet, como puedo hacer eso?, alguien tiene algún enlace que me de pautas para resolverlo. Agradecido. A.C.G.CH. Telf: Casa 00505-5323667 Cel:00505-8354400 acgch@yahoo.com __________________________________________________ Correo Yahoo! Espacio para todos tus mensajes, antivirus y antispam ¡gratis! Regístrate ya - http://correo.espanol.yahoo.com/ -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

Estaba copiando el inicio del asunto y pense que no se iba así --- "Carlos E. R." escribió:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

El 2006-07-13 a las 15:53 -0500, Alejandro C. González Chávez escribió:

...

Hola amigos, debido a que no pude parchar el squid con el follow_x_forwarded ya que no lo soporta el squid que vienen con el suse 10.0, quiero configurar el

Porfa, no secuestres hilos.

Estabamos hablando de:

Subject: Re: [suse-linux-s] No quiero estar en las listas negras

- -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76

iD8DBQFEtsGwtTMYHG2NR9URAvPmAJ9Qk9FadKEXRerb3jAF316WvqMpYQCdHSmT

q3cNrsFsRhnl6E+GNNjlXeQ= =JTdY -----END PGP SIGNATURE-----

...

-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

A.C.G.CH. Telf: Casa 00505-5323667 Cel:00505-8354400 acgch@yahoo.com __________________________________________________ Correo Yahoo! Espacio para todos tus mensajes, antivirus y antispam ¡gratis! Regístrate ya - http://correo.espanol.yahoo.com/ -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

El Jueves, 13 de Julio de 2006 22:53, Alejandro C. González Chávez escribió:

Hola amigos, debido a que no pude parchar el squid con el follow_x_forwarded ya que no lo soporta el squid que vienen con el suse 10.0, quiero configurar el squid para que este entre mis clientes windows y el dansguardian, es decir que sea el dansguardian el que esté hacia el internet, como puedo hacer eso?, alguien tiene algún enlace que me de pautas para resolverlo.

Agradecido.

* No veo el objeto de esa configuracion, dansguardian es un filtro redirector, filtra - deniega y si no deniega se lo entrega al proxy tal cual, donde se hara la autentificacion o lo que sea que soporte squid, para squid dansguardian es un mero cliente web, si se pone aguas arriba del proxy que haria dansguardian, por ejemplo, con las conexiones ssl, metodos de conexion, etc que le sirviera squid. * No creo que se pueda/deba (tal vez en "paralelo" como una cache padre) prueba: cache_peer servidor tipo puerto_http puerto_icp opciones cache_peer 192.168.0.1 parent 8080 3130 proxy-only pero no le veo la punta al asunto.