QMail supostamente seguro e autenticado aceita envio de SPAM
Ola,
Tenho um servidor rodando:
- Fedora Core 2 + kernel 2.6.10-1.8_FC2
- netqmail 1.05 + ucspi 0.88 + daemon-tools 0.76 + patches padroes (vide site lwq)
- netqmail-1.05-tls-smtpauth-20060105.patch (autenticacao SMTP)
- vpopmail 5.4.0 + sqwebmail 4.0.7 + autorespond 2.0.4 + ezmlm-0.53-idx-0.41 + qmailadmin 1.2.9
- DB_File-1.809 + Time-HiRes-1.59 + maildrop-1.6.3 + tnef-1.2.3.1 + qmail-scanner-2.01 + Mail-SpamAssassin-3.1.4 + clamav 0.88.2
- qmail-filter-1.0.4
O arquivo /etc/tcp.smtp esta sem RELAYCLIENT (nenhuma linha). Todo mundo, tanto na LAN quanto de fora precisam ser autenticados, e todo mundo passa pelo qmailscanner. O arquivo é este aqui:
192.168.200.:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
127.0.0.1:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
Ja tentei de fora usar o servidor sem autenticacao, e ele nao aceita.
Ja testei na ORBL o meu IP e nao consta em nenhuma lista negra. Inclusive o teste de relay aberto tambem nao constou nada.
Portanto, SUPOSTAMENTE o SMTP "deveria" estar seguro.
========================================
Contudo, constam no qmail-remote um monte de emails, como se alguem estivesse usando meu servidor para mandar SPAMs!!! Vejam esta listagem parcial:
19197 ? S 0:00 qmail-remote lcmlaw.com [email protected]
20364 ? S 0:00 qmail-remote cmhregional.com [email protected]
29642 ? S 0:00 qmail-remote fan.com [email protected]
30419 ? S 0:00 qmail-remote cmpco.com [email protected]
30510 ? S 0:00 qmail-remote criticomintl.com [email protected]
30560 ? S 0:00 qmail-remote act-sys.com [email protected]
O mais estranho é que o qmail-remote aparece com apenas DOIS parametros, sendo que obrigatoriamente ele deveria ter TRES!!! Parece que o parametro "sender" esta faltando, como se fosse alguem "nao identificado". Mas como poderia o qmail-remote aceitar apenas os dois parametros???
Eu achei que poderia ser algum virus em uma estacao "integrado" ao cliente de email. Troquei a senha de todo mundo, deixei o pessoal umas 2 horas sem enviar email, limpei a fila do email com o "qmHandle -D". Mas poucos segundos depois comecaram a aparecer estes emails sinistros no qmail-remote de novo!!!
Por exemplo, agora minha fila esta assim:
[root@localhost qmailscanner]# qmHandle -s
Messages in local queue: 2
Messages in remote queue: 1023
ou seja, tem UM MONTE de porcarias na fila. Isso esta matando o computador, porque o qmail (e principalmente spamassassin+clamav) estao matando a CPU, quase processando o tempo todo.
========================================
Ja olhei o who, nao tem ninguem logado sem ser eu.
Ja olhei o nmap e o netstat -a, nao achei portas conectadas estranhas, a nao ser as conexoes smtp que estao sinistras.
O que mais eu posso olhar para descobrir o que esta ocorrendo? Preciso realmente da força do forum, porque meus cartuchos estao se esgotando...
Re: QMail supostamente seguro e autenticado aceita envio de SPAM
Descobri tambem que meu computador esta usando localhost=127.0.0.1/8. Eu mudei para 127.0.0.1/32, pois nos sites que pesquisei dizia que isso seria uma falha de seguranca. Agora o email parou de vez, nem que deveria enviar consegue... travou tudo... se volto para a mascara /8 fica tudo ok.
Re: QMail supostamente seguro e autenticado aceita envio de SPAM
cara jah q vc ta usando email autenticado e ele nao deixa enviar sem autenticar, pode ser que algum do seus usuarios tenha no outlook a senha do smtp salva, e algun virus/malware maldito esta enviando esses emails pela conta do cidadao infectado..
Se seus usuarios sao locais vc cosnegue descobrir quem ta "infectado", da um qmail-qread, pega o id de alguma das mensagens, dps roda um find /var/qmail/queue -name ID, abre esse arquivo, ve qual eh o id do user logo no comeco da msg, e ai veja no passwd quem eh o user
Re: QMail supostamente seguro e autenticado aceita envio de SPAM
Eu usei sua dica e detectei que na verdade estes emails de lixo sao todos "bounced", retornos para enderecos que estao tentando mandar msgs para um "monte de usuarios@meudominio". Como varios emails nao existem, meu servidor esta tentando devolver msg de resposta. Olhei no site do qmail e parece que isso tem a ver com RCPT TO, mas nao consegui aplicar nenhum dos patches la listados, porque da erro, acho que conflita com o patch anterior do smtp-auth, entao as linhas de alteracao nao batem. Agora complicou...
E como eu tinha trocado a senha de todo mundo e nao tinha passado a nova senha pra eles durante 2 horas, eu acabei concluindo que nao seria um "virus" no cliente de email do usuario.
Re: QMail supostamente seguro e autenticado aceita envio de SPAM
Uala, Edmar!
Tenho um QMail com tudo isso aí que vc falou cá comigo tb, rodando sobre slack 10.2 - kernel 2.6.12 - tudo atualizadinho, tudo bunitinho, seguindo o lfq e o qmailrocks
E essas malditas msgs aparecem aqui tb. A sensação que eu tenho é que o estupro já ocorreu, entende? E agora estamos apenas recebendo o troco, por algo que nós nem fizemos.
Me escreve aí, a gente troca umas figurinhas.
edv.sp.br@gmail