On 16/07/06, Josep M. Queralt <jmqueralt@pobox.com> wrote:
On 15/07/06, Josep M. Queralt <jmqueralt@pobox.com> wrote:
Y como puedo solucionar esto...? en los ultimos dias lo unico que hacia es solicitar que me quitaran de las listas negras,
No lo hagas sin antes encontrar y solucionar el problema. La primera vez te harán caso y te quitarán, pero si se repite el problema ya no te quitarán jamás.
que la carga dura ha culminado, ya tengo tiempo para configurar el servidor de correos correctamente, a fin de que no lo usen para que les envien spam desde mi servidor,,, es por ello que les pedi que me
Tu problema NO es el servidor de correo. El servidor está bien, aunque quizá podrías instalarle la opción de obligarle a "recoger correo antes de enviar", aunque yo creo que eso no te solucionaría nada.
Tu problema se llama "open proxy" y te ejecutan un ataque a través de HTTP usando la propia IP de tu servidor.
Como el atacante usa tu IP (y probablemente el usuario de Apache) el servidor de correo considera legítimo sus mensajes y los envía.
Está bien que hayas ordenado la revisión de los ordenadores clientes aunque no es probable que tengas el problema ahí.
Tienes que asegurar la máquina que se usa de servidor (y no solo para el correo).
1.- No has dicho si tienes SQUID instalado. En caso afirmativo es lo primero que tienes que mirar. Revisa que esté correctamente configurado. SQUID es un programa de "proxy". Si está mal configurado es más que probable que sea el origen del problema.
Tengo varios servicios en mi red, cada servicio se encuentra en una maquina diferente, en la DMZ, tengo un servidor web, un servidor de correo, un servidor ftp. tambien tengo una maquina que hace netamente de Proxy con el Squid, esta es mi red, INTERNET----FW---------PROXY---------LAN-----WAN \ FW \ / \ / DMZ (WEB,CORREO,FTP) el servidor de correo, ademas del postfix tiene el openexchange apache2 y tomcat en una misma maquina.
Asegúrate de tener actualizado todo el software que se usa en el servidor. Hay otros programas que pueden provocar un "open proxy".
Es lo primero que voy ha hacer, en cuanto llegue al trabajo.
2.- Postfix dispone de un par de utilidades para intentar detectar el origen del problema, instala los "addons" y actúa según los resultados
lo hare y les comentare sobre los resultados y acciones que tome.
3.- No estaría de más que instalaras "Antivir" en el sistema y escanearas el servidor regularmente.
tambien lo hare,
4.- Revisa que no haya ejecutables extraños en los directorios "/tmp" del servidor (normalmente son scripts en perl (.pl) o en bash (.sh)
les comentare que encontre en cuanto llegue al trabajo.
5.- Haz un scaneo de puertos externo del servidor por si saliera algo raro, aunque con el "open proxy" se suelen utilizar puertos normalmente abiertos relacionados con HTTP (80, 8080, 3128 ....)
recientemente hemos solicitado un scaneo etico a una empresa especializada, y no encontro puertos abiertos desde afuera mas que los necesarios para los servicios que tenemos.
6.- Mírate los logs del servidor de correo e intenta detectar que usuario se está usando para enviar el "spam" masivo. Si has detectado devoluciones masivas de mensajes por usuario desconocido, mírate las cabeceras ("headers") de algunos de ellos, pueden ayudarte a identificar el origen del problema.
Si todo falla deberías desconectar la máquina de la red y hacer una nueva instalalción limpia. Ya se que suena muy bestia, pero es lo más prudente. Antes de hacer esto también puedes contactar con algún experto en seguridad informática para que de con el origen del problema.
que servidor es el que deberia volver a instalar de Cero si me viera en esa situacion.? por lo pronto voy a enfocarme en el servidor proxy, y revisar sus actualizaciones y su configuracion. se que me espera una ardua labor, pero es inevitable que vuelva a solicitar que me saquen de la lista negra, pues necesito que la empresa continue operando. Saludos JCarlos -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com