Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Ola,

    Tenho um servidor rodando:
    - Fedora Core 2 + kernel 2.6.10-1.8_FC2
    - netqmail 1.05 + ucspi 0.88 + daemon-tools 0.76 + patches padroes (vide site lwq)
    - netqmail-1.05-tls-smtpauth-20060105.patch (autenticacao SMTP)
    - vpopmail 5.4.0 + sqwebmail 4.0.7 + autorespond 2.0.4 + ezmlm-0.53-idx-0.41 + qmailadmin 1.2.9
    - DB_File-1.809 + Time-HiRes-1.59 + maildrop-1.6.3 + tnef-1.2.3.1 + qmail-scanner-2.01 + Mail-SpamAssassin-3.1.4 + clamav 0.88.2
    - qmail-filter-1.0.4

    O arquivo /etc/tcp.smtp esta sem RELAYCLIENT (nenhuma linha). Todo mundo, tanto na LAN quanto de fora precisam ser autenticados, e todo mundo passa pelo qmailscanner. O arquivo é este aqui:
    192.168.200.:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
    127.0.0.1:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
    :allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"

    Ja tentei de fora usar o servidor sem autenticacao, e ele nao aceita.

    Ja testei na ORBL o meu IP e nao consta em nenhuma lista negra. Inclusive o teste de relay aberto tambem nao constou nada.

    Portanto, SUPOSTAMENTE o SMTP "deveria" estar seguro.

    ========================================

    Contudo, constam no qmail-remote um monte de emails, como se alguem estivesse usando meu servidor para mandar SPAMs!!! Vejam esta listagem parcial:
    19197 ? S 0:00 qmail-remote lcmlaw.com gittu@lcmlaw.com
    20364 ? S 0:00 qmail-remote cmhregional.com villaoraeburn@cmhregional.com
    29642 ? S 0:00 qmail-remote fan.com braha@fan.com
    30419 ? S 0:00 qmail-remote cmpco.com tabeau@cmpco.com
    30510 ? S 0:00 qmail-remote criticomintl.com maur@criticomintl.com
    30560 ? S 0:00 qmail-remote act-sys.com kruea@act-sys.com

    O mais estranho é que o qmail-remote aparece com apenas DOIS parametros, sendo que obrigatoriamente ele deveria ter TRES!!! Parece que o parametro "sender" esta faltando, como se fosse alguem "nao identificado". Mas como poderia o qmail-remote aceitar apenas os dois parametros???

    Eu achei que poderia ser algum virus em uma estacao "integrado" ao cliente de email. Troquei a senha de todo mundo, deixei o pessoal umas 2 horas sem enviar email, limpei a fila do email com o "qmHandle -D". Mas poucos segundos depois comecaram a aparecer estes emails sinistros no qmail-remote de novo!!!

    Por exemplo, agora minha fila esta assim:
    [root@localhost qmailscanner]# qmHandle -s
    Messages in local queue: 2
    Messages in remote queue: 1023

    ou seja, tem UM MONTE de porcarias na fila. Isso esta matando o computador, porque o qmail (e principalmente spamassassin+clamav) estao matando a CPU, quase processando o tempo todo.

    ========================================

    Ja olhei o who, nao tem ninguem logado sem ser eu.
    Ja olhei o nmap e o netstat -a, nao achei portas conectadas estranhas, a nao ser as conexoes smtp que estao sinistras.

    O que mais eu posso olhar para descobrir o que esta ocorrendo? Preciso realmente da força do forum, porque meus cartuchos estao se esgotando...

  2. Descobri tambem que meu computador esta usando localhost=127.0.0.1/8. Eu mudei para 127.0.0.1/32, pois nos sites que pesquisei dizia que isso seria uma falha de seguranca. Agora o email parou de vez, nem que deveria enviar consegue... travou tudo... se volto para a mascara /8 fica tudo ok.



  3. cara jah q vc ta usando email autenticado e ele nao deixa enviar sem autenticar, pode ser que algum do seus usuarios tenha no outlook a senha do smtp salva, e algun virus/malware maldito esta enviando esses emails pela conta do cidadao infectado..

    Se seus usuarios sao locais vc cosnegue descobrir quem ta "infectado", da um qmail-qread, pega o id de alguma das mensagens, dps roda um find /var/qmail/queue -name ID, abre esse arquivo, ve qual eh o id do user logo no comeco da msg, e ai veja no passwd quem eh o user

  4. Eu usei sua dica e detectei que na verdade estes emails de lixo sao todos "bounced", retornos para enderecos que estao tentando mandar msgs para um "monte de usuarios@meudominio". Como varios emails nao existem, meu servidor esta tentando devolver msg de resposta. Olhei no site do qmail e parece que isso tem a ver com RCPT TO, mas nao consegui aplicar nenhum dos patches la listados, porque da erro, acho que conflita com o patch anterior do smtp-auth, entao as linhas de alteracao nao batem. Agora complicou...

    E como eu tinha trocado a senha de todo mundo e nao tinha passado a nova senha pra eles durante 2 horas, eu acabei concluindo que nao seria um "virus" no cliente de email do usuario.



  5. #5
    Edv
    Uala, Edmar!
    Tenho um QMail com tudo isso aí que vc falou cá comigo tb, rodando sobre slack 10.2 - kernel 2.6.12 - tudo atualizadinho, tudo bunitinho, seguindo o lfq e o qmailrocks

    E essas malditas msgs aparecem aqui tb. A sensação que eu tenho é que o estupro já ocorreu, entende? E agora estamos apenas recebendo o troco, por algo que nós nem fizemos.

    Me escreve aí, a gente troca umas figurinhas.

    edv.sp.br@gmail






Tópicos Similares

  1. Hosts denunciados como sendo fontes de envio de Spam
    Por mauriciojmjr no fórum Redes
    Respostas: 0
    Último Post: 10-04-2013, 19:14
  2. Parar com o envio de spam
    Por Valois no fórum Servidores de Rede
    Respostas: 1
    Último Post: 30-04-2007, 16:50
  3. Envio de mensagem através de SMTP autenticado.
    Por andunno no fórum Servidores de Rede
    Respostas: 2
    Último Post: 27-06-2006, 13:39
  4. Qmail para uso INTERNO (Fechar envio de Emails para Internet)
    Por awehmuth no fórum Servidores de Rede
    Respostas: 1
    Último Post: 13-03-2006, 08:06
  5. Lentidão para envio de msg no qmail
    Por Super_Diaulas no fórum Servidores de Rede
    Respostas: 0
    Último Post: 19-07-2004, 08:40

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L