On 27/12/2007, Camaleón
2007/12/27, Juan Carlos Bravo Celis:
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers,
¿Quieres decir que recibe mensajes "aparentemente válidas" que tiene que procesar y éso bloquea el servidor de correo?
asi es, los mensajes segun me comentan, inicialmente estaban dirigidas a una sola cuenta, pero luego comenzaron a llegar a diferentes cuentas, que no existen, del tipo, algunnombre@dominiodemiamigo.com , pero que el servidor tiene que procesar.
a tal grado que no recibe correos de muchos dominios, y su conexion a internet, se satura tanto que por momentos es imposible navegar, me ha pedido que lo ayude, y yo recurro a ustedes, y la pregunta es.
¿Navegar? ¿Que le ocupa la mayor parte del ancho de banda? Creo que Postfix permite limitar esas cosas ¿qué servidor de correo tiene?
tiene un exchange, pero ahora estan dispuestos a cambiarlo por un postfix, pero sin saber la causa, cambiarlo inmediatamente no ayudaria nada.
donde puedo mirar a ver si el dominio en cuestion, esta en alguna lista de dominios atacables o algo asi..?
Todos somos "atacables" :-) Seguramente se trata de una ráfaga de mensajes automatizados, nada dirigido de forma expresa. Es como la gripe, hay que pasarla de la mejor manera posible, aliviando los síntomas ;-)
Para saber si está en una lista negra:
http://www.robtex.com/ http://www.mxtoolbox.com/blacklists.aspx
Pero en este caso no aplica. Tendrá que limitar los recursos desde el servidor de correo para no colapsar la conexión ni el servidor.
hice un test del DNS y me indica que no tiene reversa,, esto podria ser un causante de tamaño ataque..?
Como te dice Carlos, no, no tiene relación. Lo que pasa es que algunos servidores de correo no querrán "dialogar" con el tuyo si no tiene resolución inversa.
Entiendo.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
¿De qué volumen de mensajes estamos hablando a la hora y de qué tipo de mensajes (bounces, spam...)? ¿Tienen alguna característica común, por ejemplo, salen del mismo rango de IP, o la IP de origen está en listas negras? Quizá puedas bloquear por algún lado...
se trata de mas de un millon de conexiones por semana, y provienen de diferentes IP, y de diferentes paises, ya pusieron muchos equipos de seguridad, desde filtros smpt y otros, pero la cantidad de conexiones es tan alta que estos equipos tambien se caen. que otro tema se podria ver..? inicialmente le estoy proponiendo que apague todo, y que reestructure su red, poniendo una cosa a la vez, pero eso es bastante costoso. Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org