On 15/07/06, Josep M. Queralt <jmqueralt@pobox.com> wrote:
Y como puedo solucionar esto...? en los ultimos dias lo unico que hacia es solicitar que me quitaran de las listas negras,
No lo hagas sin antes encontrar y solucionar el problema. La primera vez te harán caso y te quitarán, pero si se repite el problema ya no te quitarán jamás.
que la carga dura ha culminado, ya tengo tiempo para configurar el servidor de correos correctamente, a fin de que no lo usen para que les envien spam desde mi servidor,,, es por ello que les pedi que me
Tu problema NO es el servidor de correo. El servidor está bien, aunque quizá podrías instalarle la opción de obligarle a "recoger correo antes de enviar", aunque yo creo que eso no te solucionaría nada. Tu problema se llama "open proxy" y te ejecutan un ataque a través de HTTP usando la propia IP de tu servidor. Como el atacante usa tu IP (y probablemente el usuario de Apache) el servidor de correo considera legítimo sus mensajes y los envía. Está bien que hayas ordenado la revisión de los ordenadores clientes aunque no es probable que tengas el problema ahí. Tienes que asegurar la máquina que se usa de servidor (y no solo para el correo). 1.- No has dicho si tienes SQUID instalado. En caso afirmativo es lo primero que tienes que mirar. Revisa que esté correctamente configurado. SQUID es un programa de "proxy". Si está mal configurado es más que probable que sea el origen del problema. Asegúrate de tener actualizado todo el software que se usa en el servidor. Hay otros programas que pueden provocar un "open proxy". 2.- Postfix dispone de un par de utilidades para intentar detectar el origen del problema, instala los "addons" y actúa según los resultados http://www.postfix.org/addon.html 3.- No estaría de más que instalaras "Antivir" en el sistema y escanearas el servidor regularmente. http://www.free-av.com/ 4.- Revisa que no haya ejecutables extraños en los directorios "/tmp" del servidor (normalmente son scripts en perl (.pl) o en bash (.sh) 5.- Haz un scaneo de puertos externo del servidor por si saliera algo raro, aunque con el "open proxy" se suelen utilizar puertos normalmente abiertos relacionados con HTTP (80, 8080, 3128 ....) 6.- Mírate los logs del servidor de correo e intenta detectar que usuario se está usando para enviar el "spam" masivo. Si has detectado devoluciones masivas de mensajes por usuario desconocido, mírate las cabeceras ("headers") de algunos de ellos, pueden ayudarte a identificar el origen del problema. Si todo falla deberías desconectar la máquina de la red y hacer una nueva instalalción limpia. Ya se que suena muy bestia, pero es lo más prudente. Antes de hacer esto también puedes contactar con algún experto en seguridad informática para que de con el origen del problema. -- Salutacions - Saludos, Josep M. Queralt