+ Responder ao Tópico



  1. #1
    estudante
    Visitante

    Padrão vírus no meu e-mail server Qmail

    Olá

    Mais uma vez estou retornando a esta comunidade que tanto tem me ajudado para um outro problema. Tenho estudado muito sobre o qmail mas notei que é muito difícil de buscar informações sobre administração e até mesmo manutenção do qmail de forma simples.

    Agora estou com vírus no meu server aquele do tipo que envia e-mails por conta própria.


    Tem como reparar isto?

  2. #2
    Avenger
    Visitante

    Padrão vírus no meu e-mail server Qmail

    tem certeza de que é vírus no seu servidor? não pode ser porque você deixou ele como 'open relay' e tem um galerao usando seu servidor para mandar spam não?.. Dá uma olhada no meu post anterior que eu estava falando sobre isso de 'open relay'.

    Confere nesse tópico:
    https://under-linux.org/modules.php?...wtopic&t=35282

  3. #3
    estudante
    Visitante

    Padrão vírus no meu e-mail server Qmail

    Citação Postado originalmente por Avenger
    tem certeza de que é vírus no seu servidor? não pode ser porque você deixou ele como 'open relay' e tem um galerao usando seu servidor para mandar spam não?.. Dá uma olhada no meu post anterior que eu estava falando sobre isso de 'open relay'.

    Confere nesse tópico:
    https://under-linux.org/modules.php?...wtopic&t=35282

    Avenger primeiramente obrigado.


    Eu tenho e-mails desconhecidos saindo do meu server. Eu acredito que tenha algum vírus nele que pega e cria e-mail aproveitando toda nomenclatura @dominio.com.br que esteja presente ou citado no meu server. Com isto ele cria um nome + @algo que encontrar.

    De que forma posso chegar se está com vírus mesmo?

    Fiz o teste sugerido para verificar open relay. De outro micro em outro local com outro acesso a internet configurei o outlook com o pop3 de uma outra conta em outro provedor que tenho e coloquei no smtp o meu server de e-mail objeto deste assunto. Sem realizar o pop, ou seja,consulta de e-mail, criei um e-email e enviei para um outro e-mail o resultado foi conforme colado abaixo:

    A mensagem não pôde ser enviada porque um de seus destinatários foi recusado pelo servidor. O endereço de email recusado era '[email protected]'. Assunto 'teste', Conta: 'smtp teste ', Servidor: 'mail.teste.com.br', Protocolo: SMTP, Resposta do servidor: '553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)', Porta: 25, Segura (SSL): Não, Erro do servidor: 553, Nº do erro: 0x800CCC79

    É claro que os nomes reais eu substitui nesta cola por motivos óbvios.

    A conclusão que tive foi que o meu relay está fechado e isto eu já havia constatado olhando o meu rcpthosts onde só abre para minha rede interna. Não uso smtp-after-pop nem smtp-before-pop. E agora para piorar tive que mudar o nat no meu roteador que apontava o ip fixo para o 10.10.10.205 mudando para o 10.10.10.206 pois quando estava no 205 eu perdia a comunicação externa. Mudando para o 206 o servidor voltou a ficar público. Para teste coloquei o 205 em outro micro e tive assesso público ou seja de fora eu pingava o meu fixo.

    Esta informação a mais pode servir como pesquisa para o problema?

  4. #4
    Avenger
    Visitante

    Padrão vírus no meu e-mail server Qmail

    As informações adicionais, pode ser que ajude mesmo... Será que você não está fazendo um NAT de fora prá dentro?.. Faça o seu rcpthosts de forma a excluir o IP do seu roteador, teve uma vez que tive problema com 'open relay' porque o roteador estava fazendo nat das conexões externas, então um ponto de fora às vezes entrava no smtp como se fosse o IP do roteador, e ele liberava consequentemente para o IP do roteador.

    Dá uma olhada no seu 'netstat -an' se está com muita conexão da sua propria rede interna para seu MTA também, pode ser um vírus num dos clientes ao invés de ser dentro da maquina...

    Se for um virus dentro do MTA, eu nunca ouvi dizer... mas provavelmente seu servidor esteja então com algum backdoor instalado, ou sei lá... Vírus de mandar e-mail dentro do linux mesmo eu nunca vi. Pode ser também, se você fornece serviço de webhost com cgi-bin ou php, ou até ASP, que um cliente tenha feito uma interface para mandar e-mails, e a esteja usando para mandar o grande volume de e-mails que sai do seu servidor.

    Mais uma coisa que pode ser, o que é possível caso haja um backdoor em seu MTA, é estar rodando um servidor de e-mail 'open relay' em outra porta... o 'netstat -pan' pode te mostrar quais processos estão ouvindo em quais portas. Caso ache um estranho, apague. Geralmente quando o pessoal invade e 'protege' maquinas invadidas, não escondem as informações do netstat -pan (mesmo escondendo do ps aux).

  5. #5
    Avenger
    Visitante

    Padrão vírus no meu e-mail server Qmail

    Repeti a mensagem, foi mal... Caramba. :@:

  6. #6
    estudante
    Visitante

    Padrão vírus no meu e-mail server Qmail

    Citação Postado originalmente por Avenger
    Repeti a mensagem, foi mal... Caramba. :@:
    Avenger

    Vou lhe solicitar mais um help. Acho que posso estar com open relay mesmo no meu qmail server.

    Segui vários tutoriais para evitar que isto acontecesse então prefiro ter de você uma sugestão mas definitiva. De que forma eficaz eu poderia estar protegendo o meu qmail server de open relay pois ele está publicado na web e é um mx primário? Só para informação eu tenho somente um domínio nele.

    Existe alguma ferramenta mais específica para constatar se estou mesmo em open relay sem que eu ao testar me bloqueie como acontece com alguns sites que testam os servidores?

  7. #7
    Avenger
    Visitante

    Padrão vírus no meu e-mail server Qmail

    Olha, o teste prá saber se você é mesmo um open relay, é esse mesmo, que te deu aquele resultado:

    A mensagem não pôde ser enviada porque um de seus destinatários foi recusado pelo servidor. O endereço de email recusado era '[email protected]'. Assunto 'teste', Conta: 'smtp teste ', Servidor: 'mail.teste.com.br', Protocolo: SMTP, Resposta do servidor: '553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)', Porta: 25, Segura (SSL): Não, Erro do servidor: 553, Nº do erro: 0x800CCC79

    Se quiser que eu faça o teste daqui de casa (eu estou por um velox mas posso testar a partir de um provedor longe de BLs), me passa endereço ou host do seu MTA que eu te falo. No site www.ordb.org também tem um teste online de open relay, ele testa mais coisas alem de rcpthosts, mas não tenho certeza de que, se ele detectar que você é um relay, se ele vai te listar na BL ou não. Se você souber ingles é só ler lá que eles explicam se vao ou nao adicionar na BL caso te detectem como um open relay. Pode passar o host do seu MTA por mensagem privada se preferir. Outro lugar com informações legais sobre open relay é o njabl.org.

  8. #8
    estudante
    Visitante

    Padrão vírus no meu e-mail server Qmail

    Ok. Avenger


    Mais uma vez obrigado irei realizar um estudo mais profundo para ficar mais experiente no assunto começando pelas suas bem vindas dicas e links.


    Obrigado de verdade.