El Jueves, 27 de Diciembre de 2007, Juan Carlos Bravo Celis escribió:
Hola a todos,
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers, a tal grado que no recibe correos de muchos dominios, y su conexion a internet, se satura tanto que por momentos es imposible navegar, me ha pedido que lo ayude, y yo recurro a ustedes, y la pregunta es.
donde puedo mirar a ver si el dominio en cuestion, esta en alguna lista de dominios atacables o algo asi..?
* Puede probar a ver si es un relay abierto, buscar openrelay en google y elegir desde donde quiere probarlo.
hice un test del DNS y me indica que no tiene reversa,, esto podria ser un causante de tamaño ataque..?
* No, esta comprobacion la utilizaria otro receptor para "denegar" los envios de tu amigo si comprueba la existencia de resolucion inversa.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
* Maquinas infectadas seguramente con sistemas operativos iguales al que aloja su exchange estan siendo utilizados para spamear o conseguir denegacion de servicio y es lo primero que tiene que comprobar en si mismo, teniendo wilson, lo primero es comprobar que el spammer no es el o sus redes/maquinas y le estan rebotando, la lamentable practica de hacer relay para las maquinas internas, es sobre todo en una red wilson, una bomba de relojeria activada ...... * Si su servidor esta haciendo reject de los correos en vez de descartarlos esta agravando el problema (rechazando/enviando correos a remitentes inexistentes o falsificados y provocando que los administradores de esos dominios (inocentes) lo consideren a el un spammer y acabar de joderle. * lo que puede hacer de momento es denegar temporalmente dominios de primer nivel de donde provengan, tipicamente *.tw , añadir consultas rbl's, limpiar manualmente, los generalmente decenas de miles de correos, que siguen en la cola queue en proceso para evitar reintentos de entrega y/o devolucion, con esto los programas de envio masivo suelen detectarlo en un tiempo (no excesivamente alto) y pasan a siguientes victimas, y cuando pase la peste reconfigurar. * Si esto se produce frecuentemente (se conviente uno en victima habitual, no es una cosa frecuente, suelen ser ataques aleatorios), sera el momento de colocar aguas arriba de los servidores principales servidores solo relay que se encarguen de la autentificacion/descarte y pase los OK a los servidores principales para que los procesen, en cualquier caso al no existir por parte de la gestion autoritativa de los dominios una practica comun para impedir la falsificacion del origen (contribuir a la verificacion del origen legitimo/identificable ), estos ataques son inevitables, que tu amigo contribuya a ello añadiendo registros SPF para sus dominios.