+ Responder ao Tópico



  1. #1

    Padrão Suposta invasão no Postfix

    Bom dia,

    Caros colegas, trabalho em uma empresa que utiliza o postfix+mysql+amavis+spamassassin como serviço de email. A algum tempo os usuarios começaram a receber email com o nosso proprio dominio porem de usuario inexistentes tipo: [email protected] . Isso tem me atrapalhando muito e como nao sou muito experiente com o postfix, tenho impressão que ou o nosso relay está aberto e alguem esta enviando spam por ele, ou alguem consegiu invadir meu servidor e ta rodando algum script. Abaixo segue o log do maillog no postfix:

    Apr 10 09:27:06 ns2 postfix/smtpd[10955]: warning: 85.20.126.147: hostname 85-20-126-147-dynamic.albacom.net verification failed: Name or service not known
    Apr 10 09:27:06 ns2 postfix/smtpd[10955]: connect from unknown[85.20.126.147]
    Apr 10 09:27:08 ns2 postfix/smtpd[10955]: 7E66D1380DA: client=unknown[85.20.126.147]
    Apr 10 09:27:09 ns2 postfix/cleanup[30332]: 7E66D1380DA: message-id=<[email protected]>
    Apr 10 09:27:09 ns2 postfix/qmgr[14937]: 7E66D1380DA: from=<[email protected]>, size=2509, nrcpt=1 (queue active)
    Apr 10 09:27:09 ns2 spamd[24230]: spamd: connection from localhost [127.0.0.1] at port 34096
    Apr 10 09:27:09 ns2 spamd[24230]: spamd: setuid to clamav succeeded
    Apr 10 09:27:09 ns2 spamd[24230]: spamd: processing message <[email protected]> for clamav:1003
    Apr 10 09:27:09 ns2 spamd[24230]: spamd: clean message (2.0/5.0) for clamav:1003 in 0.1 seconds, 2490 bytes.
    Apr 10 09:27:09 ns2 spamd[24230]: spamd: result: . 1 - BAYES_00,BODY_ENHANCEMENT2,HELO_DYNAMIC_IPADDR2,HTML_MESSAGE scantime=0.1,size=2490,user=clamav,uid=1003,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=34096,mid=<[email protected]>,bayes=1.11022302462516e-16,autolearn=no
    Apr 10 09:27:09 ns2 spamd[23658]: prefork: child states: II
    Apr 10 09:27:09 ns2 postfix/pickup[15064]: D72BC1380FF: uid=1003 from=<[email protected]>
    Apr 10 09:27:09 ns2 postfix/cleanup[18273]: D72BC1380FF: message-id=<[email protected]>
    Apr 10 09:27:09 ns2 postfix/pipe[30916]: 7E66D1380DA: to=<[email protected]>, relay=clamav, delay=2, delays=1.8/0/0/0.16, dsn=2.0.0, status=sent (delivered via clamav service)
    Apr 10 09:27:09 ns2 postfix/qmgr[14937]: 7E66D1380DA: removed
    Apr 10 09:27:09 ns2 postfix/qmgr[14937]: D72BC1380FF: from=<[email protected]>, size=2867, nrcpt=1 (queue active)
    Apr 10 09:27:09 ns2 postfix/virtual[28970]: D72BC1380FF: to=<[email protected]>, relay=virtual, delay=0.02, delays=0.02/0/0/0, dsn=2.0.0, status=sent (delivered to maildir)
    Apr 10 09:27:09 ns2 postfix/qmgr[14937]: D72BC1380FF: removed
    Apr 10 09:27:10 ns2 postfix/smtpd[10955]: disconnect from unknown[85.20.126.147]

    como vcs podem ver destacado de vermelho, percebi que um ip conecta no meu postfix manda as mensagens usando meu dominio e depois desconecta.

    Onde está o problema? E o que posso fazer para corrigi-lo!

  2. #2

    Padrão

    Amigo procura na internet sobre como fechar o relay, pois pelo qeu parece vc configurou seu postfix com relay aberto.

    Abraço



  3. #3

    Padrão

    Na configuração do meu main.cf, tem a seguinte linha:

    #=====REDES p/ Relay======
    # 10.0.0.0/24 = MINHA REDE
    #
    mynetworks=10.1.0.0/16 10.2.0.0/16 10.3.0.0/16 200.199.231.0/24 200.181.62.0/24 189.10.82.0/24

    Onde, de vermelho é minha rede interna(Matriz e Filiais), e de preto, sao os ips das nossas filiais que ficam em outro Estado. Será que ta certo essa configuração? Nós usamos o serviço Vetor da Brasiltelecom para fazer vpn entre filiais( 10.2.0.0/16 10.3.0.0/16 ) e matriz(10.1.0.0/16 ), e uma vez tirei os ips fixos (de preto) do mynetworks achando que nao teria necessidade de tê-los no mynetworks ja que tinha os ips internos, so que dai ninguem das filiais conseguiram mandar email, so recebiam...pq sera?

  4. #4

    Padrão

    Autetinca a galera usando SASL+TLS.



  5. #5

    Padrão

    Citação Postado originalmente por Duca Ver Post
    Autetinca a galera usando SASL+TLS.
    Grande Duca ... blz ...estive um tempo sumido ....

    lembrando que se vc fechar o relay, usar a autenticação SASL por exemplo ... vc já reduz isso ... força seu MTA fazer a checagem de usuários ... não lembro bem a opção ...


    Flw ...

  6. #6

    Thumbs up

    Citação Postado originalmente por rootmaster Ver Post
    Grande Duca ... blz ...estive um tempo sumido ....

    Realmente, você andou meio sumido. O Ruyneto foi outro quem reapareceu.
    O Under ganha muito com a volta de vocês.

    Quanto ao SASL, o howt-to do postfix é bem explicativo, além disso existem muitos exemplos sobre isso na net.


    Ab, Duca.



  7. #7

    Padrão

    Amigo,

    O seu problema não tem nada a ver com invasão, e muito menos relay aberto se acaso quiseres confirmar quanto ao relay faz o seguinte entra nesse espaço http://www.antispam-ufrj.pads.ufrj.br/test-relay.html

    Digita o seu ip 200.199.231.3 e clica em test logo no final da pagina você vera os resultados.

    Outra coisa que me chamou a atençao foi a quantidade de portas desnecessarias abertas nesse mesmo ip da uma olhada abaixo:

    21/tcp open ftp
    23/tcp open telnet
    25/tcp open smtp
    37/tcp open time
    53/tcp open domain
    80/tcp open http
    110/tcp open pop3
    113/tcp open auth
    139/tcp open netbios-ssn
    143/tcp open imap
    445/tcp open microsoft-ds
    3306/tcp open mysql

    Tenho certeza de que muita coisa ai não deveria estar sendo usada, qualquer coisa me de um toque que dou uma mão pra resolver isso tambem.

    Agora vamos resolver o seu problema com esses emails mau educados !!! hehehe


    Crie um arquivo com todos os dominios que estão contidos nesse servidor, exemplo, /etc/postfix/mysenders:
    fulano.com.br MYSENDERS
    beltrano.com.br MYSENDERS
    testando.com.br MYSENDERS

    Agora rode o comando postmap /etc/postfix/mysenders e logo apos inclua as seguintes linhas no main.cf.

    smtpd_restriction_classes = MYSENDERS
    MYSENDERS = permit_mynetworks, permit_sasl_authenticated, reject

    smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/mysenders ,

    Agora execute o comando postfix reload e faca o teste de fora.


    Abraçao
    Última edição por gatoseco; 05-05-2008 às 19:28.