Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Galera, passei a trabalhar com um servidor qmail + vpopmail com smtp autenticado. Existem cerca de 900 contas de email distribuidas em uns 10 dominios diferentes. Todos os usuarios utilizam outlook/oe para enviar/receber emails. Estão distribuidos em locais diferentes, todos com ip fixo diferentes, claro. Com certeza absoluta, o maior pico de uso do servidor seria por volta das 9:30 da manhã, porém, noto que o uso do servidor para tráfego de email é escandaloso.

    Como posso identificar se o problema é por um ataque "hacker" ou se é vírus nas maquinas dos usuários? Tem como identificar o IP de quem está usando demasiadamente os serviços do qmail? Pra vcs terem noção, setei uma conta catch all e em dois dias ela recebeu aproximadamente 230 MIL EMAILS...

    Isso está ocasionando problemas ao subir os serviços do qmail-scanner e do spamassassin. A máquina não dá conta de processar a fila e fazer varredura ao mesmo tempo com essa quantidade absurda de tráfego de emails que com certeza não é do nosso foco de trabalho. Acredito que todas as contas não enviariam mais que 10.000 por dia (10 emails cada conta ao longo do dia). O server é um FC8 com Intel Xeon 3,0, 2GB DDR2, SCSI 35 GB e um link dedicado com a Embratel.

    Ajuda aí galera!

    Abraços!
    Última edição por danistation; 29-05-2008 às 12:16.

  2. Boa tarde,

    Existem uma ferramenta chamada Isoqlog link:
    Isoqlog: Multi Functional Mail Server Log Analyzer

    tutorial: Linux: Trabalhando com os logs do Postfix/Qmail usando o isoqlog [Artigo]

    Creio que com essa ferramenta você pode conseguir verificar algo, ah também verifica se esse servidor nao esta com o relay aberto!

    Relativo ao Spam exite uma ferramenta chamada ASK - link:
    Active Spam Killer (ASK)


    essa ferramenta pede confirmação de remente, é um pouco complica de configurar mas é muito eficiente.



  3. Citação Postado originalmente por ronanbnu Ver Post
    ...
    Creio que com essa ferramenta você pode conseguir verificar algo, ah também verifica se esse servidor nao esta com o relay aberto!
    ...
    Quanto às ferramentas, vou ler sobre elas no decorrer da semana.

    Quanto ao relay, meu arquivo tcp.smtp está configurado apenas com:
    127.:allow,RELAYCLIENT=""

    É a unica linha que tem nele. Porém a qualquer momento que rodo os comandos:

    - netstat com grep na porta 25: aparecem muitas conexões. Durante o dia alguns picos de 450, 500 incidências. Nesse momento a fila de emails cresce sem parar. Comumente fica estável entre 90 e 100 conexões. Porém, apesar das 900 contas de email, acredito que
    a quantidade de conexões não passariam de 50 na média, e claro, o pico apenas na parte da manhã quando o pessoal começa a trabalhar;

    - ps auxww com grep no qmail-remote: ainda não entendi para que serve o qmail-remote, mas, quando a fila de emails está subindo demasiadamente, apresenta cerca de 120 processos do qmail-remote rodando. O domínio do host normalmente é desconhecido o parâmetro do SENDER aparece em branco e os RECIPIENTS na maioria são desconhecidos ou tentativas para nossos domínios.;

    - qmailctl queue - mostra muitas, mas muitas mensagens com remetente apenas "<>" ou rementente "<#@[]>" sendo enviadas ou para nossos dominios ou para outros dominios.

    Enquanto eu não aprender a usar os programas indicados ou ao menos ler com calma o que exatamente eles fazer e como instalar, como faço para continuar as buscas pela origem de tantas conexões SMTP??

    Se ao menos eu souber como filtrar isso, posso fazer testes, do tipo, identificando qual o IP que mais sobrecarrega o serviço, bloquear o acesso ou se for de algum dos escritórios, partir para varredura em massa nas máquinas dos usuários em busca de vísrus...

    No aguardo...

    Daniel.
    Última edição por danistation; 29-05-2008 às 13:41.

  4. Olha amigo o problema ai é brabo, é essa nojeira de spams, agora verificar o ip que mais envia email creio que é quase impossivel, pois como lhe falei, isso ai é essa nojeira de spam, entao os spammers usam maquinas, zumbis, ou algo do tipo. e disparam de tudo quanto é ip, você conseguiria ter uma boa noção com aquela ferramente ali o qmailanalog, ela é facil de instalar, quanto a quantidade de mail para a quantidade de dominios nao creio ser algo tão tão absurdo não, mas é alto, segue anexo um guia rapido do qmail, acessa os links que te enviei lá, ah outra coisa que vc pode configurar ai no qmail é a verificação de DNS reverso, pode ajudar também, mas como a Ferramenta ASK nao tem igual, pois os email nao chegam a ser processados pelo Qmail, procura algo na net, já estou te enviando também um guia para configurar o ask, mas o cara é ferrado tem que fazer o procedimento conta por conta.. interessante seria criar um script para fazer isso, vamos atras disso..
    Miniaturas de Anexos Miniaturas de Anexos qmail-guiadeconsulta.pdf   Anti-SPAM ASK - Válidando remetentes por confirmação de mensagem.pdf  



  5. Citação Postado originalmente por ronanbnu Ver Post
    ...isso ai é essa nojeira de spam, entao os spammers usam maquinas, zumbis, ou algo do tipo. e disparam de tudo quanto é ip, você conseguiria ter uma boa noção com aquela ferramente ali o qmailanalog, ela é facil de instalar... segue anexo um guia rapido do qmail, acessa os links que te enviei lá, ah outra coisa que vc pode configurar ai no qmail é a verificação de DNS reverso, pode ajudar também, mas como a Ferramenta ASK nao tem igual, pois os email nao chegam a ser processados pelo Qmail, procura algo na net, já estou te enviando também um guia para configurar o ask, mas o cara é ferrado tem que fazer o procedimento conta por conta.. interessante seria criar um script para fazer isso, vamos atras disso..
    Cara, obrigadão mesmo pelas dicas. Pelo menos já dá tomar uma direção do que se deve fazer. Meu DNS está OK, inclusive o reverso. Quanto À demanda de emails, apesar das 900 contas, com certeza absoluta a demanda diária é pequena. Contando que cada usuário envie e receba 30 emails dia (mentira, a média é bem menor), isso daria 27.000 emails... Só o catch all, em 24 horas, recebeu 90.000 emails. Isso fora os que realmente chegaram nas contas certas.


    Vou dar uma boa lida no material que vc mandou e estudar um pouco sobre as ferramentas. Porém, de imediato, já estamos providneciando um mutirão para fazer varredura nas máquinas dos usuários em busca de vírus/trojam que possam estar utilizando o SMTP deles, já que todos utilizam o Outlook e OE com a opção de lembrar senha marcada.

    Se o fechamento do post não depender de mim, vou postando o progresso do trabalho conforme sua evolução, até a redução de pelo menos 75% desse abuso no servidor.

    Novas dúvidas sobre as ferramentas e dicas serão postadas também.

    []s

    Daniel.






Tópicos Similares

  1. Como levantar o serviço do anti-Spam !!!!
    Por Geromel no fórum Servidores de Rede
    Respostas: 2
    Último Post: 25-07-2005, 16:46
  2. Como levantar o serviço do anti-Spam !!!!
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 25-07-2005, 09:04
  3. Acessar Windows pelo servico do samba com hed hat 8.
    Por leonsimpai no fórum UnderLinux
    Respostas: 5
    Último Post: 14-11-2003, 07:36
  4. Respostas: 0
    Último Post: 02-04-2003, 09:29
  5. instalação do serviço ADSL Brasil Telecom???
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 18-12-2002, 13:54

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L