Servidor qmail virando spammer

[Edilmar]

Ola,

Tenho um servidor qmail com anti-relay, anti-spam, anti-virus e autenticacao SMTP, tudo funcionando blz.
Contudo, de vez em quando um usuario de "outvirus" (vulgo Outlook) pega algum virus novo que manda spams.
Neste caso, a maquina do cara comeca a mandar um monte de emails usando a propria conta dele, com autenticacao de senha, tudo normal. Ou seja, para o servidor SMTP, é um email "inocente" de um usuario da rede.
Tem alguma forma de detectar que o cidadao esta mandando mensagens em quantidade "anormal" e bloquea-lo, ou avisar o administrador por email?

[gimenes]

Utilize ferramentas para análise de logs, pode ajudar você encontar estes usuários, veja abaixo alguns exemplos:

Qmailrocks.org Part 16 - Qmailanalog
Linux: Gerando estatísticas do seu servidor de email utilizando o isoqlog [Artigo]

[Edilmar]

Eu tenho o isoqlog instalado.
Contudo, ele nao tem sistema de aviso automatico.
Quanto ao qmailanalog, vou dar uma olhada.
Mas como o "outvirus" tem sempre uma "surpresa nova" pra gente, seria bom se o software de analise de email tivesse alguma ideia de IDS.

[luiscarlos]

Edilmar, tem um patch para qmail que permite colocar um tempo de espera entre um envio de email e outro, assim, o spammer nao conseguira encher sua fila, o patch é o tarpit em Tarpitting with qmail-smtpd
Espero que isso ajude.

[Edilmar]

Tem um problema... o tarpit é um patch sobre o qmail-smtpd. Como eu uso o netqmail-1.05 + netqmail-1.05-tls-smtpauth-20060105.patch + badrcptto.patch + dns-qmail-103.patch, quando eu aplico o patch do tarpit da um monte de erros. Eu teria que ver o qmail-smtpd apos aplicados todos os patches anteriores e fazer as mudancas na mao, checando linha a linha, certo?

[luiscarlos]

Infelizmente sim, sei bem como isso dá trabalho, tem outra ferramenta que talvez possa te ajudar, esta bem mais facil de integrar, o spamdyke, veja se te ajuda.