Identificando uso indevido (virus/ataques spam) dos serviços do qmail

[danistation]

Galera, passei a trabalhar com um servidor qmail + vpopmail com smtp autenticado. Existem cerca de 900 contas de email distribuidas em uns 10 dominios diferentes. Todos os usuarios utilizam outlook/oe para enviar/receber emails. Estão distribuidos em locais diferentes, todos com ip fixo diferentes, claro. Com certeza absoluta, o maior pico de uso do servidor seria por volta das 9:30 da manhã, porém, noto que o uso do servidor para tráfego de email é escandaloso.

Como posso identificar se o problema é por um ataque "hacker" ou se é vírus nas maquinas dos usuários? Tem como identificar o IP de quem está usando demasiadamente os serviços do qmail? Pra vcs terem noção, setei uma conta catch all e em dois dias ela recebeu aproximadamente 230 MIL EMAILS...

Isso está ocasionando problemas ao subir os serviços do qmail-scanner e do spamassassin. A máquina não dá conta de processar a fila e fazer varredura ao mesmo tempo com essa quantidade absurda de tráfego de emails que com certeza não é do nosso foco de trabalho. Acredito que todas as contas não enviariam mais que 10.000 por dia (10 emails cada conta ao longo do dia). O server é um FC8 com Intel Xeon 3,0, 2GB DDR2, SCSI 35 GB e um link dedicado com a Embratel.

Ajuda aí galera!

Abraços!

[ronanbnu]

Boa tarde,

Existem uma ferramenta chamada Isoqlog link:
Isoqlog: Multi Functional Mail Server Log Analyzer

tutorial: Linux: Trabalhando com os logs do Postfix/Qmail usando o isoqlog [Artigo]

Creio que com essa ferramenta você pode conseguir verificar algo, ah também verifica se esse servidor nao esta com o relay aberto!

Relativo ao Spam exite uma ferramenta chamada ASK - link:
Active Spam Killer (ASK)


essa ferramenta pede confirmação de remente, é um pouco complica de configurar mas é muito eficiente.

[danistation]

...
Creio que com essa ferramenta você pode conseguir verificar algo, ah também verifica se esse servidor nao esta com o relay aberto!
...

Quanto às ferramentas, vou ler sobre elas no decorrer da semana.

Quanto ao relay, meu arquivo tcp.smtp está configurado apenas com:
127.:allow,RELAYCLIENT=""

É a unica linha que tem nele. Porém a qualquer momento que rodo os comandos:

- netstat com grep na porta 25: aparecem muitas conexões. Durante o dia alguns picos de 450, 500 incidências. Nesse momento a fila de emails cresce sem parar. Comumente fica estável entre 90 e 100 conexões. Porém, apesar das 900 contas de email, acredito que
a quantidade de conexões não passariam de 50 na média, e claro, o pico apenas na parte da manhã quando o pessoal começa a trabalhar;

- ps auxww com grep no qmail-remote: ainda não entendi para que serve o qmail-remote, mas, quando a fila de emails está subindo demasiadamente, apresenta cerca de 120 processos do qmail-remote rodando. O domínio do host normalmente é desconhecido o parâmetro do SENDER aparece em branco e os RECIPIENTS na maioria são desconhecidos ou tentativas para nossos domínios.;

- qmailctl queue - mostra muitas, mas muitas mensagens com remetente apenas "<>" ou rementente "<#@[]>" sendo enviadas ou para nossos dominios ou para outros dominios.

Enquanto eu não aprender a usar os programas indicados ou ao menos ler com calma o que exatamente eles fazer e como instalar, como faço para continuar as buscas pela origem de tantas conexões SMTP??

Se ao menos eu souber como filtrar isso, posso fazer testes, do tipo, identificando qual o IP que mais sobrecarrega o serviço, bloquear o acesso ou se for de algum dos escritórios, partir para varredura em massa nas máquinas dos usuários em busca de vísrus...

No aguardo...

Daniel.

[ronanbnu]

Olha amigo o problema ai é brabo, é essa nojeira de spams, agora verificar o ip que mais envia email creio que é quase impossivel, pois como lhe falei, isso ai é essa nojeira de spam, entao os spammers usam maquinas, zumbis, ou algo do tipo. e disparam de tudo quanto é ip, você conseguiria ter uma boa noção com aquela ferramente ali o qmailanalog, ela é facil de instalar, quanto a quantidade de mail para a quantidade de dominios nao creio ser algo tão tão absurdo não, mas é alto, segue anexo um guia rapido do qmail, acessa os links que te enviei lá, ah outra coisa que vc pode configurar ai no qmail é a verificação de DNS reverso, pode ajudar também, mas como a Ferramenta ASK nao tem igual, pois os email nao chegam a ser processados pelo Qmail, procura algo na net, já estou te enviando também um guia para configurar o ask, mas o cara é ferrado tem que fazer o procedimento conta por conta.. interessante seria criar um script para fazer isso, vamos atras disso..

[danistation]

...isso ai é essa nojeira de spam, entao os spammers usam maquinas, zumbis, ou algo do tipo. e disparam de tudo quanto é ip, você conseguiria ter uma boa noção com aquela ferramente ali o qmailanalog, ela é facil de instalar... segue anexo um guia rapido do qmail, acessa os links que te enviei lá, ah outra coisa que vc pode configurar ai no qmail é a verificação de DNS reverso, pode ajudar também, mas como a Ferramenta ASK nao tem igual, pois os email nao chegam a ser processados pelo Qmail, procura algo na net, já estou te enviando também um guia para configurar o ask, mas o cara é ferrado tem que fazer o procedimento conta por conta.. interessante seria criar um script para fazer isso, vamos atras disso..

Cara, obrigadão mesmo pelas dicas. Pelo menos já dá tomar uma direção do que se deve fazer. Meu DNS está OK, inclusive o reverso. Quanto À demanda de emails, apesar das 900 contas, com certeza absoluta a demanda diária é pequena. Contando que cada usuário envie e receba 30 emails dia (mentira, a média é bem menor), isso daria 27.000 emails... Só o catch all, em 24 horas, recebeu 90.000 emails. Isso fora os que realmente chegaram nas contas certas.


Vou dar uma boa lida no material que vc mandou e estudar um pouco sobre as ferramentas. Porém, de imediato, já estamos providneciando um mutirão para fazer varredura nas máquinas dos usuários em busca de vírus/trojam que possam estar utilizando o SMTP deles, já que todos utilizam o Outlook e OE com a opção de lembrar senha marcada.

Se o fechamento do post não depender de mim, vou postando o progresso do trabalho conforme sua evolução, até a redução de pelo menos 75% desse abuso no servidor.

Novas dúvidas sobre as ferramentas e dicas serão postadas também.

[]s

Daniel.

[ronanbnu]

Isso ai se encontrar algo de interessante posta ai , só fomentando a ideia de configurar o reverso no seu qmail, segue link:
https://under-linux.org/forums/sendm...-no-qmail.html

Creio que assim muito spam iria ficar no meio do caminho e micros zumbis que nao tem IP profissional estão em black lists, da uma boa pensada nisso, pode ser essa ai a porta aberta ai no seu server.

[danistation]

Isso ai se encontrar algo de interessante posta ai , só fomentando a ideia de configurar o reverso no seu qmail, segue link:
https://under-linux.org/forums/sendm...-no-qmail.html

Creio que assim muito spam iria ficar no meio do caminho e micros zumbis que nao tem IP profissional estão em black lists, da uma boa pensada nisso, pode ser essa ai a porta aberta ai no seu server.

Mais uma vez agradecido com a idéia, meu caro! To tomando um chá de cadeirão aqui lendo seus links e manuais de instalação e uso das ferramentas mencionadas... Vou postando o progresso até concluir todo e trabalho e fazer com q o servidor passe a trabalhar pra gente, e não para os maldidos SPAMs e possíveis zumbis...

Abraços!

Daniel.

[danistation]

Aew galera! Até que enfim vou colocar alguns avanços quanto ao problema de SPAM com o servidor que montei!!

Depois de pesquisar sobre as algumas ferramentar de monitoração, por enquanto a que mais foi útil foi o qmHandle.

Com ele ficou muito fácil verificar de uma só vez, a arquivo da mensagem de spam, o subject e o tamanho do email.

Deu pra ter uma noção o quanto de spam está sendo trafegado (ABSURDOS, ACREDITEM!).

Não me dei muito bem com qmHandle para excluir essas mensagens, então fiz um pequeno script para buscar os SPAMs por subject. Os de mais tráfego no servidor são os derivados de Replica Watches, Enlarge Your Pens, CNN Daily Report e um mais recente msnbc.com - BREAKING NEWS. Capturo o ID das mensagens que tem esses subjects e procuro pelas pelas com o mesmo ID, em /mess, /bounce e /info. Excluo os arquivos com o ID da mensagem dessas pastas e pronto. Bau bau fila gigantesca. Isso está me ajudando momentaneamente, nas horas de sufoco.

Porém, encontrei o site: LinuxTI do Claudio Borges. Lá encontrei um excelente tutorial de instalação do qmail usando o netqmail, com todo muito bem explicadinho. Notei uma diferença no tutorial dele com o do Qmailrocks (o qual me baseei para instalar o meu servidor de qmail):

O grande mestre Claudio Borges mostra cerca de 30 patches a serem aplicados no netqmail. Comparando com o bigpatches do qmailrocks, o do Claudio tem praticamente o dobro de patches sendo aplicado na instalação. A maioria deles são para configurações anti-spam, melhoria de logs e etc.

Minha dúvida atual antes de prosseguir com a luta contra os SPAMS:

Meu servidor: Qmail + vpopmail + qmailadmin + vqadmin + autoresponder + squirrelmail (por qmailrocks)...

Gostaria muito de aplicar os patches que o mestre Claudio Borges menciona no seu tutorial. Agora que o meu qmail já está instalado e trabalhando com cerca de 1200 contas de email na situação acima,

1º - Como devo proceder para aplicar novos patches à minha instalação atual?

2º - Posso aplicar patches em qualquer programa linux já instalado ou devo obrigatóriamente fazer isso no src e recompilar?

3º - No meu caso de qmail, se eu tiver mesmo que recompilar o qmail, qual será o impacto de configurações de contas e domínios já feitos com o vpopmail, qmailadmin e vqadmin?

Percebam que minha dúvida é mais voltada para instalação / atualização de programas em linux do que mesmo o combate ao SPAM!!

No aguardo da ajuda dos colegas!!!

[]s