Re: [opensuse-es] falsificacion de cuenta en postfix

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-02-23 a las 11:09 -0600, troxlinux escribió:

señores algo raro me esta pasando desde hace unos días atras varios de mis usuarios me estas diciendo que están recibiendo correos de ellos mismo con publicidad , aunque tengo mi servidor autenticado con sasl , reviso algunos correos de los cuales le llegan a ellos con publicidad veo que utilizan otros servidores para enviar el correo y claro el spamassasin lo deja pasar , tengo algunas rbl para el chk ..

Cuando la dirección del "to" es tuya, no se pide autenticación al remitente, en teoría estás obligado a aceptar el correo. Es un truco que los spammers han aprendido para saltarse las verificaciones, usar tu propio from. Así no tienen que hacer relay. Yo he visto algunos servidores que cambian la norma, de manera que cuando el "from" es propio piden autenticación, independientemente del destinatario - eso evita este tipo de spam. Ignoro como decirle al postfix que haga esto, si es que es posible, porque podría interpretarse como contrario a las normas. Otra posibilidad es rechazar los correos con un "from" propio si no vienen del propio servidor; pero eso también puede ser contrario a las normas: es posible y legítimo enviar correo con un remite tuyo usando un servidor distinto.

alguno idea como paro estos mocosos ..

anexo una cabecera de un correo

Return-Path: X-Original-To: pepe@superdominio.org.ni Delivered-To: pepe@superdominio.org.ni Received: from localhost (localhost [127.0.0.1]) by ns1.superdominio.org.ni (Postfix) with ESMTP id 194A0160F27EE for ; Mon, 23 Feb 2009 09:44:23 -0600 (CST) X-DKIM: Sendmail DKIM Filter v2.5.5 ns1.superdominio.org.ni 194A0160F27EE DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=superdominio.org.ni; s=default; t=1235403863; bh=lOcdRijE74ZRfZXlv16rHfvmuQc/hK0sQSQRqME TmKk=; h=To:Subject:From:MIME-Version:Content-Type:Message-Id:Date; b=htVXbH67RYpwNK2MYUc0zs/UcnuFMI06K6i2FTiObe1RPb03ZZO7ploEeNYos80La dU0f86NaG/wsWFQuR66ZhgsNI36GzlEln+FGJIO+tySbl91yrNiIMArIPUKlUqW4AtO h7cPzOEnZlKZQH6svRmeLKvHeIyii2X1A72Fmic=

Lo que no entiendo es que pinta la cabecera DKIM aquí; pero no la ha metido postfix, sino sendmail, o sea, otro servidor. Y en correo entrante, no saliente. Muy raro. Observa que dkim sirve para autentificar que el correo viene del dominio del que dice venir, garantizando integridad de extremo a extremo...

X-Virus-Scanned: amavisd-new at superdominio.org.ni X-Spam-Flag: NO X-Spam-Score: 3.666 X-Spam-Level: *** X-Spam-Status: No, score=3.666 tagged_above=3 required=4.6 tests=[AWL=-6.932, BAYES_99=3.5, HTML_IMAGE_ONLY_32=1.778, HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.457, RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E4_51_100=1.5, RAZOR2_CHECK=0.5, RDNS_NONE=0.1, SPF_HELO_NEUTRAL=0.576, SPF_NEUTRAL=0.686]

El SA te lo deja pasar porque tiene una puntuación negativa, por el from, de casi -7 puntos.

Received: from ns1.superdominio.org.ni ([127.0.0.1]) by localhost (ns1.superdominio.org.ni [127.0.0.1]) (amavisd-new, port 10024) with LMTP id XAVQm4PpaQHr for ; Mon, 23 Feb 2009 09:44:00 -0600 (CST) Received: from aischool.org (unknown [81.215.210.66]) by ns1.superdominio.org.ni (Postfix) with SMTP id 68748160BFC0A for ; Mon, 23 Feb 2009 09:43:51 -0600 (CST) X-DKIM: Sendmail DKIM Filter v2.5.5 ns1.superdominio.org.ni 68748160BFC0A To: Subject: Mail 60288 From: MIME-Version: 1.0 Importance: High Content-Type: text/html Message-Id: <20090223154352.68748160BFC0A@ns1.superdominio.org.ni>

- -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkmi/SkACgkQtTMYHG2NR9X9tACbB0lBqYahKB/NPNJ9E4d6KUmv TIcAnAzSvdPwX1ATH3e0rj47ADiDRIPh =VHcN -----END PGP SIGNATURE-----