Como dejar de ser un Open Relay
Hola a todos. Hace unos días ingreso mi servidor de correo en la lista del dsbl.org. Pense que el servidor esta enviando SPAM, pero según el monitoreo que se ha realizado el mismo no esta enviándo SPAM. Ahora según algunos test que he realizado aparece como un Open Relay. El último test lo realice con el software Relay Test Pro 1.9 y los resultados de que acepto mensajes se presentaron en las siguientes opciones: 1.Test using local sender address for relaying. WARNING MESSAGE HAS BEEN ACCEPTED BY HOST, CHECK MAIL TO CONFIRM! Test remark: Unless the sender is authenticated or trusted the message should not be send by the mail server. 2. Test using localhost as sender's domain. WARNING MESSAGE HAS BEEN ACCEPTED BY HOST, CHECK MAIL TO CONFIRM! Test remark: Unless the sender is authenticated or trusted the message should not be send by the mail server. 3. Sender address without a domain test, sugesting a local user. WARNING MESSAGE HAS BEEN ACCEPTED BY HOST, CHECK MAIL TO CONFIRM! Test remark: Unless the sender is authenticated or trusted the message should not be send by the mail server. La configuración que utilice para el archivo sendmail.mc fue la siguiente: divert(0)dnl VERSIONID(`$Id: generic-linux.mc,v 8.1 1999/09/24 22:48:05 gshapiro Exp $') OSTYPE(linux)dnl define(`confDEF_USER_ID`, ``8:12``)dnl define(`confTRUSTED_USER`, `smmsp`)dnl define(`confTO_CONNECT`, `1m`)dnl define(`confTRY_NULL_MX_LIST`, True)dnl define(`confDONT_PROBE_INTERFACES`, Ture)dnl define(`PROCMAIL_MAILER_PATH`, `/usr/bin/procmail`)dnl define(`UUCP_MAILER_MAX`, `300000`) define(`confPRIVACY_FLAGS`, `authwarnings, novrfy, noexpn, restrictqrun`)dnl define(`confBAD__RCPT_THROTTLE`, `3`)dnl define(`confTO_IDENT`, `0`)dnl define(`confMILTER_LOG_LEVEL`, `1`)dnl define(`confEIGHT_BIT_HANDLING`, `pass8`)dnl INPUT_MAIL_FILTER(`mimedefang`, `S=unix:/var/spool/MIMEDefang/mimedefang..sock, F=T, T=S:5m;R:1m`) FEATURE(`local_procmail`) FEATURE(`smrsh`, `/usr/sbin/smrsh`)dnl FEATURE(redirect)dnl FEATURE(always_add_domain)dnl EXPOSED_USER(`root`)dnl DOMAIN(generic)dnl MAILER(local)dnl MAILER(smtp)dnl Revise que habían recomendado ha alguien en la lista actualizar su versión de sendmail. Asi que busque la dirección que recomendaron y aplique el parche contra la nueva vulnerabilidad. Pero no tengo idea de que debo corregir en el servidor para cerrar la opcion de ser open relay. Por favor les agradeceria que si alguien tiene experiencia en manejar este caso me ayuden, ya que los usuarios no puedo enviar ningún correo y esta situacion me tiene muy preocupada. He solicitado la remocion del IP del servidor en la lista del dsbl.org en 3 ocasiones. Ellos nos han sacado, pero a los 2 dias vuelven a ingresarnos. Asi que por lo poco que entiendo es que miestras el server siga en la condición de open relay y no se corriga seguiremos en el mismo problema.
El 29/03/06, Thelma López
Hola a todos.
Hace unos días ingreso mi servidor de correo en la lista del dsbl.org.
Pense que el servidor esta enviando SPAM, pero según el monitoreo que se ha realizado el mismo no esta enviándo SPAM.
Ahora según algunos test que he realizado aparece como un Open Relay.
El último test lo realice con el software Relay Test Pro 1.9 y los resultados de que acepto mensajes se presentaron en las siguientes opciones:
1.Test using local sender address for relaying. WARNING MESSAGE HAS BEEN ACCEPTED BY HOST, CHECK MAIL TO CONFIRM! Test remark: Unless the sender is authenticated or trusted the message should not be send by the mail server.
2. Test using localhost as sender's domain. WARNING MESSAGE HAS BEEN ACCEPTED BY HOST, CHECK MAIL TO CONFIRM! Test remark: Unless the sender is authenticated or trusted the message should not be send by the mail server.
3. Sender address without a domain test, sugesting a local user. WARNING MESSAGE HAS BEEN ACCEPTED BY HOST, CHECK MAIL TO CONFIRM! Test remark: Unless the sender is authenticated or trusted the message should not be send by the mail server.
La configuración que utilice para el archivo sendmail.mc fue la siguiente:
divert(0)dnl VERSIONID(`$Id: generic-linux.mc,v 8.1 1999/09/24 22:48:05 gshapiro Exp $') OSTYPE(linux)dnl define(`confDEF_USER_ID`, ``8:12``)dnl define(`confTRUSTED_USER`, `smmsp`)dnl define(`confTO_CONNECT`, `1m`)dnl define(`confTRY_NULL_MX_LIST`, True)dnl define(`confDONT_PROBE_INTERFACES`, Ture)dnl define(`PROCMAIL_MAILER_PATH`, `/usr/bin/procmail`)dnl define(`UUCP_MAILER_MAX`, `300000`) define(`confPRIVACY_FLAGS`, `authwarnings, novrfy, noexpn, restrictqrun`)dnl define(`confBAD__RCPT_THROTTLE`, `3`)dnl define(`confTO_IDENT`, `0`)dnl define(`confMILTER_LOG_LEVEL`, `1`)dnl define(`confEIGHT_BIT_HANDLING`, `pass8`)dnl INPUT_MAIL_FILTER(`mimedefang`, `S=unix:/var/spool/MIMEDefang/mimedefang..sock, F=T, T=S:5m;R:1m`) FEATURE(`local_procmail`) FEATURE(`smrsh`, `/usr/sbin/smrsh`)dnl FEATURE(redirect)dnl FEATURE(always_add_domain)dnl EXPOSED_USER(`root`)dnl DOMAIN(generic)dnl MAILER(local)dnl MAILER(smtp)dnl
Revise que habían recomendado ha alguien en la lista actualizar su versión de sendmail. Asi que busque la dirección que recomendaron y aplique el parche contra la nueva vulnerabilidad.
actualizar los programas no es algo que se deba hacer solamente cuando alguien lo recomenda, pero si, constantemente !!!!
Pero no tengo idea de que debo corregir en el servidor para cerrar la opcion de ser open relay.
primeramente leer toda la documentacion que encuentra en la web para configurar un servidor de correo con sendmail (o otro que queira) !!! segundo, releer la documentacion que encontraste !!!
Por favor les agradeceria que si alguien tiene experiencia en manejar este caso me ayuden, ya que los usuarios no puedo enviar ningún correo y esta situacion me tiene muy preocupada.
se los usarios estan tan urgidos en tener el sistema funcionando correctamente y usted no tiene NPI sobre el tema... recomendo contratar los servicios de alguien con experiencia en el tema, ya q leeer y principalmente entender las documentacions referentes te vas a demorar bastante !!!
He solicitado la remocion del IP del servidor en la lista del dsbl.org en 3 ocasiones. Ellos nos han sacado, pero a los 2 dias vuelven a ingresarnos.
logico.. se no arreglas el problema !!! y me extrana que ellos tengan removido la IP, por lo general ni siquera la removen hasta que este totalmente arreglado.
Asi que por lo poco que entiendo es que miestras el server siga en la condición de open relay y no se corriga seguiremos en el mismo problema.
exacto !!! mis condolencias. -- -- Victor Hugo dos Santos Linux Counter #224399
Hola.
Yo conozco dos alternativas para eliminar el relay.
1. Que definas los dominios a los cuales les permites enviar correo
electrónicoa a través de tu servidor
2. Que auntentifiques a quienes solicitan enviar correo electronicao a
través de tu servidor.
En el caso de la primer solo debes definir los dominios para los cuales se
estará permitiendo enviar correo electrónico. Esto se hacer generando el
fichero /etc/mail/relay-domains
dominio.unam.mx RELAY
132.248.XX RELAY
También deberas de modificar el /etc/acces si es que lo tienes habilitado
# Estos son obligatorios para que funcione de forma lcoal
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY
dominio.unam.mx RELAY
*132.248.XX RELAY*
Referencias
http://www.linuxparatodos.net/geeklog/staticpages/index.php?page=14-como-sen...
En el caso de la segunda ahi esta un poquito mas tardado...
http://www.sendmail.org/~ca/email/auth.htmlhttp://www.sendmail.org/%7Eca/email/auth.html
solo es necesario que verifques que cambios puede haber en el procedimiento
con respecto a la última version de sendmail
que dudo que halla algo.
Saludos.
On 3/29/06, Thelma López
Hola a todos.
Hace unos días ingreso mi servidor de correo en la lista del dsbl.org.
Pense que el servidor esta enviando SPAM, pero según el monitoreo que se ha realizado el mismo no esta enviándo SPAM.
Ahora según algunos test que he realizado aparece como un Open Relay.
El último test lo realice con el software Relay Test Pro 1.9 y los resultados de que acepto mensajes se presentaron en las siguientes opciones:
1.Test using local sender address for relaying. WARNING MESSAGE HAS BEEN ACCEPTED BY HOST, CHECK MAIL TO CONFIRM! Test remark: Unless the sender is authenticated or trusted the message should not be send by the mail server.
2. Test using localhost as sender's domain. WARNING MESSAGE HAS BEEN ACCEPTED BY HOST, CHECK MAIL TO CONFIRM! Test remark: Unless the sender is authenticated or trusted the message should not be send by the mail server.
3. Sender address without a domain test, sugesting a local user. WARNING MESSAGE HAS BEEN ACCEPTED BY HOST, CHECK MAIL TO CONFIRM! Test remark: Unless the sender is authenticated or trusted the message should not be send by the mail server.
La configuración que utilice para el archivo sendmail.mc fue la siguiente:
divert(0)dnl VERSIONID(`$Id: generic-linux.mc,v 8.1 1999/09/24 22:48:05 gshapiro Exp $') OSTYPE(linux)dnl define(`confDEF_USER_ID`, ``8:12``)dnl define(`confTRUSTED_USER`, `smmsp`)dnl define(`confTO_CONNECT`, `1m`)dnl define(`confTRY_NULL_MX_LIST`, True)dnl define(`confDONT_PROBE_INTERFACES`, Ture)dnl define(`PROCMAIL_MAILER_PATH`, `/usr/bin/procmail`)dnl define(`UUCP_MAILER_MAX`, `300000`) define(`confPRIVACY_FLAGS`, `authwarnings, novrfy, noexpn, restrictqrun`)dnl define(`confBAD__RCPT_THROTTLE`, `3`)dnl define(`confTO_IDENT`, `0`)dnl define(`confMILTER_LOG_LEVEL`, `1`)dnl define(`confEIGHT_BIT_HANDLING`, `pass8`)dnl INPUT_MAIL_FILTER(`mimedefang`, `S=unix:/var/spool/MIMEDefang/mimedefang..sock, F=T, T=S:5m;R:1m`) FEATURE(`local_procmail`) FEATURE(`smrsh`, `/usr/sbin/smrsh`)dnl FEATURE(redirect)dnl FEATURE(always_add_domain)dnl EXPOSED_USER(`root`)dnl DOMAIN(generic)dnl MAILER(local)dnl MAILER(smtp)dnl
Revise que habían recomendado ha alguien en la lista actualizar su versión de sendmail. Asi que busque la dirección que recomendaron y aplique el parche contra la nueva vulnerabilidad.
Pero no tengo idea de que debo corregir en el servidor para cerrar la opcion de ser open relay.
Por favor les agradeceria que si alguien tiene experiencia en manejar este caso me ayuden, ya que los usuarios no puedo enviar ningún correo y esta situacion me tiene muy preocupada.
He solicitado la remocion del IP del servidor en la lista del dsbl.org en 3 ocasiones. Ellos nos han sacado, pero a los 2 dias vuelven a ingresarnos.
Asi que por lo poco que entiendo es que miestras el server siga en la condición de open relay y no se corriga seguiremos en el mismo problema.
spam@pumas.iingen.unam.mx
-- Instituto de Ingeniería de la UNAM Coordinación de Sistemas de Cómputo Área de Sistemas Unix/Linux
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-29 a las 13:37 -0600, Instituto de Ingenieria Unix escribió:
Yo conozco dos alternativas para eliminar el relay.
1. Que definas los dominios a los cuales les permites enviar correo electrónicoa a través de tu servidor 2. Que auntentifiques a quienes solicitan enviar correo electronicao a través de tu servidor.
En el caso de la primer solo debes definir los dominios para los cuales se estará permitiendo enviar correo electrónico. Esto se hacer generando el fichero /etc/mail/relay-domains
No es una alternativa, tiene que hacer ambas cosas. Hacer sólo 1 falla las pruebas:
1.Test using local sender address for relaying. 2. Test using localhost as sender's domain. 3. Sender address without a domain test, sugesting a local user.
Es decir, falla la prueba de que alguien entre diciendo que viene de su dominio o de localhost... es precisamente lo que le pasa. Al menos, si verificara la IP, sería algo. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEKx0gtTMYHG2NR9URApODAJ91p50aDgbiVXYu2ZPUl1DtMstw5ACfb6iZ 0t4vhCH7PdaMSbEVa/sXNsQ= =JoDD -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-29 a las 14:00 -0500, Thelma López escribió:
1.Test using local sender address for relaying.
2. Test using localhost as sender's domain.
3. Sender address without a domain test, sugesting a local user.
Bien, bien... :-( Pues no se como lo has conseguido, porque tal como viene el suse seguro que eso no lo hace. Por lo menos, que verifique la IP, y mejor que pida login y password siempre, o al menos, en la interfase externa.
La configuración que utilice para el archivo sendmail.mc fue la siguiente:
No te puedo decir. Precisamente por lo complicado que es entender eso, he dejado de hacerlo, y uso postfix.
Pero no tengo idea de que debo corregir en el servidor para cerrar la opcion de ser open relay.
Estudiate los manuales... es lo que yo haría. Y buscar los ejemplos y soluciones en la web del sendmail.
He solicitado la remocion del IP del servidor en la lista del dsbl.org en 3 ocasiones. Ellos nos han sacado, pero a los 2 dias vuelven a ingresarnos.
!!! Es que eso que has hecho, y perdona que te lo diga, es una estupidez. Ahora ellos saben que no sabes administrar tu propio servidor de correo, te clasifican como inepta, y la próxima vez ni te atienden. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEKudYtTMYHG2NR9URAp1OAJ9l0Hh3G72HwuRnKslSbQ9NEr67dwCfXlO0 Sm5sRnGQXLx+ydhQlbZwQuQ= =dtOy -----END PGP SIGNATURE-----
El 29/03/06, Thelma López escribió:
Ahora según algunos test que he realizado aparece como un Open Relay.
Busca documentación al respecto: http://spamlinks.net/prevent-secure-relay-fix.htm#sendmail Saludos, -- Camaleón
El 29/03/2006 21:00:31 Thelma López escribió: yajaira> Pense que el servidor esta enviando SPAM, pero según el monitoreo que se ha realizado el mismo no esta enviándo SPAM. Si entró en "dsbl.org", es casi seguro que envió SPAM, aunque ahora nadie esté usando tu servidor pàra hacerlo. Normalmente dslb.org tarda entre 3 y 5 semanas en detectar y añadir los servidores a la lista negra, por lo que yo miraría en los logs a partir del 12 de Febrero. yajaira> Ahora según algunos test que he realizado aparece como yajaira> un Open Relay. yajaira> yajaira> El último test lo realice con el software Relay Test Pro 1.9 yajaira> y los resultados de que acepto mensajes se presentaron en las siguientes opciones: Tienes un test muy fiable en http://www.dnsstuff.com/ De todas formas según los resultados que pones es que lo tienes todo absolutamente abierto. yajaira> yajaira> La configuración que utilice para el archivo sendmail.mc fue la siguiente: En un mesaje anterior te decía que necesitabas activar el mecanismo de autentificación de usuarios y forzar a Senmail a usar pop antes que el servidor de smtp. Usar el mecanismo "pop before smtp". No veo que en el fichero de configuración que adjuntas hayas hecho nada de eso. yajaira> define(`confTRY_NULL_MX_LIST`, True)dnl yajaira> define(`confDONT_PROBE_INTERFACES`, Ture)dnl ..................................................................................................... ^^^^^^^ Ahí tienes un error de sintaxis, no es "ture" es "true" Para la autentificación tendrías que tener tres lineas del tipo: define(`confAUTH_OPTIONS', `A')dnl dnl TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl dnl FEATURE(`relay_based_on_MX')dnl De todas maneras no se te ocurra "cortar y pegar" eso en tu configuración. Sendmail es un MTA muy dificil de configurar y el hecho de que el orden de las lineas de configuración es importante no ayuda precisamente a hacerlo más facil Si no lo tienes claro (que parece que no) y si no tienes ganas de leer la documentación y los ejemplos de configuración en sendmail.org (que parece que tampoco) o si te corre prisa el tema, lo mejor que puedes hacer es contratar a alguien para que lo haga o poner el tema en manos de algún conocido que sepa hacerlo. Si ello no es posible, entonces lee la documentación de sendmail y mírate los ejemplos aunque no tengas ganas, aunque puedes hacer un intento de evitarlo leyendo la siguiente URL que está en castellano: http://www.linuxdata.com.ar/index.php?idmanual=sendmailconf.htm&manuale=1 Otra solución es que, cuando tengas una idea medianamente clara de como funciona, instales "webmin" en el servidor (http://www.webmin.com) y hagas la configuración a través del módulo "sendmail" que tiene. Te redsultará más facil y mas claro que editando directamente "sendmail.cf". yajaira> He solicitado la remocion del IP del servidor en la lista del dsbl.org en 3 ocasiones. Es absurdo hacer eso si no tienes el problema resuelto. Incluso puede ser perjudicial porque te puede ocurrir que cuando lo tengas resuelto "de verdad" luego no te saquen de la lista. yajaira> Asi que por lo poco que entiendo es que miestras el server siga en la condición de open relay y no se corriga seguiremos en el mismo problema. Noooo! el problema siempre puede ir a peor. Cuanto más tardes en solucionar el problema en más listas negras estarás. Haz el test de "dnsstuff.com" que he puesto más arriba de este mensaje y repítelo pasada una semana. Verás como las líneas rojas han aumentado. :-( -- Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-30 a las 09:59 +0200, Josep M. Queralt escribió:
De todas maneras no se te ocurra "cortar y pegar" eso en tu configuración. Sendmail es un MTA muy dificil de configurar y el hecho de que el orden de las lineas de configuración es importante no ayuda precisamente a hacerlo más facil
Hay una manera que es dejar que el Yast lo configure. Para configuraciones simples iba muy bien, imagino que seguirá estando aunque por defecto ponga el postfix. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEK6LutTMYHG2NR9URAt8MAJoDibHB+hqXivOGAJsTtpP/QFQ1jgCfer7M bGem11I6Flvk0moh3R1kQ0g= =TAdI -----END PGP SIGNATURE-----
El 30/03/2006 11:20:43 Carlos E. R. escribió: robin1.listas> robin1.listas> Hay una manera que es dejar que el Yast lo configure. Para configuraciones robin1.listas> simples iba muy bien, imagino que seguirá estando aunque por defecto ponga robin1.listas> el postfix. No sabría que decirte. No lo he probado nunca. En el caso de Postfix la configuración que hace Yast, si mi memoria no falla, es lo que podríamos llamar "intralan", es decir, solo para máquinas conectadas en la misma red local, no permitiéndose conexiones externas (no instala autentificación). Si con SenMail hace lo mismo, lo cual ignoro, no creo que le sirva al amigo de la lista que hace la consulta. De todas maneras, teniendo las cosas claras, si que es una buena idea hacer la configuración con Webmin ya que facilita bastante las cosas. De todas maneras con webmin o sin él, solo oyendo la palabra "sendmail" ya me pongo a temblar. Es un buen sinónimo de "tener problemas". :-) -- Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-30 a las 13:47 +0200, Josep M. Queralt escribió:
robin1.listas> robin1.listas> Hay una manera que es dejar que el Yast lo configure. Para configuraciones robin1.listas> simples iba muy bien, imagino que seguirá estando aunque por defecto ponga robin1.listas> el postfix.
No sabría que decirte. No lo he probado nunca. En el caso de Postfix la configuración que hace Yast, si mi memoria no falla, es lo que podríamos llamar "intralan", es decir, solo para máquinas conectadas en la misma red local, no permitiéndose conexiones externas (no instala autentificación).
Vale, pero ya no será un open relay, al no escuchar fuera ;-) El problema es que, en la configuración de Thelma, sólo con que alguien se conecte diciendo que está en el dominio de su servidor le deja pasar, sin comprobar si la IP es de su dominio.
De todas maneras con webmin o sin él, solo oyendo la palabra "sendmail" ya me pongo a temblar. Es un buen sinónimo de "tener problemas". :-)
Desde luego. En el caso de SuSE, recuerdo que se tocaba un archivo de macros, que luego se compilaban. Pero es que es tan lioso de entender, que ya lo he olvidado. Será muy bueno, y todavía le consideran el estandard, pero... caray, menos mal que ya no lo uso. Pero en fin, me temo que le hemos echado tal bronca que se ha ido. Lo siento, pero... es que no se otra manera más suave de decirle lo que le dije. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEK+38tTMYHG2NR9URAolPAKCMeXmWwna7goWODy8j3MSPuAwARwCff8L1 jxMaQCilmuMSF4UfjcQAqT0= =HjKR -----END PGP SIGNATURE-----
El 30/03/06, Carlos E. R.
Pero en fin, me temo que le hemos echado tal bronca que se ha ido. Lo siento, pero... es que no se otra manera más suave de decirle lo que le dije.
o talvez los servidores de la lista, ya lo tenga bloqueado !!!! :-D salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-30 a las 13:20 -0400, Victor Hugo dos Santos escribió:
Pero en fin, me temo que le hemos echado tal bronca que se ha ido. Lo siento, pero... es que no se otra manera más suave de decirle lo que le dije.
o talvez los servidores de la lista, ya lo tenga bloqueado !!!! :-D
X-) Afortunadamente, los de SuSE no son tan exigentes; si no, muchos de nosotros (yo) no podríamos enviar a la lista tampoco. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFELCAYtTMYHG2NR9URAlniAJ9o/Ub4KR4lcEXHy4uhtmxLRbhCCgCcCFMS uYKNPR17QseadKOIGvp55zE= =0/ZP -----END PGP SIGNATURE-----
participants (6)
-
Camaleón
-
Carlos E. R.
-
Instituto de Ingenieria Unix
-
Josep M. Queralt
-
Thelma López
-
Victor Hugo dos Santos