Suposta invasão no Postfix

[nonozim]

Bom dia,

Caros colegas, trabalho em uma empresa que utiliza o postfix+mysql+amavis+spamassassin como serviço de email. A algum tempo os usuarios começaram a receber email com o nosso proprio dominio porem de usuario inexistentes tipo: [email protected] . Isso tem me atrapalhando muito e como nao sou muito experiente com o postfix, tenho impressão que ou o nosso relay está aberto e alguem esta enviando spam por ele, ou alguem consegiu invadir meu servidor e ta rodando algum script. Abaixo segue o log do maillog no postfix:

Apr 10 09:27:06 ns2 postfix/smtpd[10955]: warning: 85.20.126.147: hostname 85-20-126-147-dynamic.albacom.net verification failed: Name or service not known
Apr 10 09:27:06 ns2 postfix/smtpd[10955]: connect from unknown[85.20.126.147]
Apr 10 09:27:08 ns2 postfix/smtpd[10955]: 7E66D1380DA: client=unknown[85.20.126.147]
Apr 10 09:27:09 ns2 postfix/cleanup[30332]: 7E66D1380DA: message-id=<[email protected]>
Apr 10 09:27:09 ns2 postfix/qmgr[14937]: 7E66D1380DA: from=<[email protected]>, size=2509, nrcpt=1 (queue active)
Apr 10 09:27:09 ns2 spamd[24230]: spamd: connection from localhost [127.0.0.1] at port 34096
Apr 10 09:27:09 ns2 spamd[24230]: spamd: setuid to clamav succeeded
Apr 10 09:27:09 ns2 spamd[24230]: spamd: processing message <[email protected]> for clamav:1003
Apr 10 09:27:09 ns2 spamd[24230]: spamd: clean message (2.0/5.0) for clamav:1003 in 0.1 seconds, 2490 bytes.
Apr 10 09:27:09 ns2 spamd[24230]: spamd: result: . 1 - BAYES_00,BODY_ENHANCEMENT2,HELO_DYNAMIC_IPADDR2,HTML_MESSAGE scantime=0.1,size=2490,user=clamav,uid=1003,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=34096,mid=<[email protected]>,bayes=1.11022302462516e-16,autolearn=no
Apr 10 09:27:09 ns2 spamd[23658]: prefork: child states: II
Apr 10 09:27:09 ns2 postfix/pickup[15064]: D72BC1380FF: uid=1003 from=<[email protected]>
Apr 10 09:27:09 ns2 postfix/cleanup[18273]: D72BC1380FF: message-id=<[email protected]>
Apr 10 09:27:09 ns2 postfix/pipe[30916]: 7E66D1380DA: to=<[email protected]>, relay=clamav, delay=2, delays=1.8/0/0/0.16, dsn=2.0.0, status=sent (delivered via clamav service)
Apr 10 09:27:09 ns2 postfix/qmgr[14937]: 7E66D1380DA: removed
Apr 10 09:27:09 ns2 postfix/qmgr[14937]: D72BC1380FF: from=<[email protected]>, size=2867, nrcpt=1 (queue active)
Apr 10 09:27:09 ns2 postfix/virtual[28970]: D72BC1380FF: to=<[email protected]>, relay=virtual, delay=0.02, delays=0.02/0/0/0, dsn=2.0.0, status=sent (delivered to maildir)
Apr 10 09:27:09 ns2 postfix/qmgr[14937]: D72BC1380FF: removed
Apr 10 09:27:10 ns2 postfix/smtpd[10955]: disconnect from unknown[85.20.126.147]

como vcs podem ver destacado de vermelho, percebi que um ip conecta no meu postfix manda as mensagens usando meu dominio e depois desconecta.

Onde está o problema? E o que posso fazer para corrigi-lo!

[ruyneto]

Amigo procura na internet sobre como fechar o relay, pois pelo qeu parece vc configurou seu postfix com relay aberto.

Abraço

[nonozim]

Na configuração do meu main.cf, tem a seguinte linha:

#=====REDES p/ Relay======
# 10.0.0.0/24 = MINHA REDE
#
mynetworks=10.1.0.0/16 10.2.0.0/16 10.3.0.0/16 200.199.231.0/24 200.181.62.0/24 189.10.82.0/24

Onde, de vermelho é minha rede interna(Matriz e Filiais), e de preto, sao os ips das nossas filiais que ficam em outro Estado. Será que ta certo essa configuração? Nós usamos o serviço Vetor da Brasiltelecom para fazer vpn entre filiais( 10.2.0.0/16 10.3.0.0/16 ) e matriz(10.1.0.0/16 ), e uma vez tirei os ips fixos (de preto) do mynetworks achando que nao teria necessidade de tê-los no mynetworks ja que tinha os ips internos, so que dai ninguem das filiais conseguiram mandar email, so recebiam...pq sera?

[Duca]

Autetinca a galera usando SASL+TLS.

[rootmaster]

Autetinca a galera usando SASL+TLS.

Grande Duca ... blz ...estive um tempo sumido ....

lembrando que se vc fechar o relay, usar a autenticação SASL por exemplo ... vc já reduz isso ... força seu MTA fazer a checagem de usuários ... não lembro bem a opção ...


Flw ...

[Duca]

Grande Duca ... blz ...estive um tempo sumido ....

Realmente, você andou meio sumido. O Ruyneto foi outro quem reapareceu.
O Under ganha muito com a volta de vocês.

Quanto ao SASL, o howt-to do postfix é bem explicativo, além disso existem muitos exemplos sobre isso na net.


Ab, Duca.

[gatoseco]

Amigo,

O seu problema não tem nada a ver com invasão, e muito menos relay aberto se acaso quiseres confirmar quanto ao relay faz o seguinte entra nesse espaço http://www.antispam-ufrj.pads.ufrj.br/test-relay.html

Digita o seu ip 200.199.231.3 e clica em test logo no final da pagina você vera os resultados.

Outra coisa que me chamou a atençao foi a quantidade de portas desnecessarias abertas nesse mesmo ip da uma olhada abaixo:

21/tcp open ftp
23/tcp open telnet
25/tcp open smtp
37/tcp open time
53/tcp open domain
80/tcp open http
110/tcp open pop3
113/tcp open auth
139/tcp open netbios-ssn
143/tcp open imap
445/tcp open microsoft-ds
3306/tcp open mysql

Tenho certeza de que muita coisa ai não deveria estar sendo usada, qualquer coisa me de um toque que dou uma mão pra resolver isso tambem.

Agora vamos resolver o seu problema com esses emails mau educados !!! hehehe


Crie um arquivo com todos os dominios que estão contidos nesse servidor, exemplo, /etc/postfix/mysenders:
fulano.com.br MYSENDERS
beltrano.com.br MYSENDERS
testando.com.br MYSENDERS

Agora rode o comando postmap /etc/postfix/mysenders e logo apos inclua as seguintes linhas no main.cf.

smtpd_restriction_classes = MYSENDERS
MYSENDERS = permit_mynetworks, permit_sasl_authenticated, reject

smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/mysenders ,

Agora execute o comando postfix reload e faca o teste de fora.


Abraçao