Tengo un problema, ya llevo 5 horas de estar botando correos de mi cola de correos. Un usuario X me esta queriendo botar mi servidor de correos con envios masivos de correos.
Entiendo que este "botar" se refiere a que un asaltante está usando tu servidor de correo para enviar mensajes a otras máquinas.
Antes de mi servidor de correos tengo un appliance antivirus y antispam que esta configurado para detener ese tipo de ataques.
Ahí me pierdo. El anti-spam sería para correo entrante, no saliente. El atacante le pasa el correo directamente a mi servidor de
correos (SUSE LES 9.0). Como puedo hacer para que mi servidor de correos no acepte solicitudes de otro equipo que no sea mi appliance antivirus y antispam?
Un buen principio sería saber que servidor de correo usas (Postfixt, Sendmail ....) Para empezar. _PARA_ el servidor de correo. Lo fundamental es que tu máquina, de momento, solo acepte correo de tu red local. En postfixt la variable es "mynetworks=127.0.0.0/8" y luego decirle que solo escuche ahí en la variable "inet_interfaces", cambiando el "all" por "localhost". Si tienes localizada la IP de la máquina asaltante, entrala en los hosts prohibidos del cortafuegos. Si estás usando Sendmail no es necesario ponerla en el cortafuegos, ya que puedes usar la lista de sitios permitidos y denegados del propio sendmail. Si a pesar de poner tu máquina en "localhost" el problema continúa entonces es que tienes un "bicho" dentro. Como "root" mira que procesos tienes abiertos, con especial atención a los que se ejecuten en "Perl" y mira también si en /tmp hay algún script en Perl. Mírate también el directorio temporal que hay dentro de /var. En estos casos el "bicho" siempre entra por alguna aplicación que se ejecuta con Apache y que tiene alguna vulnerabilidad. Dinos que programa estás corriendo con Apache y te diré como ha entrado. :-) Si el "botar" indica que el ataque se produce en el correo entrante, todo es mucho más simple. Limítate a bloquear la IP atacante en el cortafuegos o en la lista de IP's denegadas en el caso de que uses SendMail. -- Salutacions - Saludos, Josep M. Queralt