+ Responder ao Tópico



  1. #1

    Padrão QMail supostamente seguro e autenticado aceita envio de SPAM

    Ola,

    Tenho um servidor rodando:
    - Fedora Core 2 + kernel 2.6.10-1.8_FC2
    - netqmail 1.05 + ucspi 0.88 + daemon-tools 0.76 + patches padroes (vide site lwq)
    - netqmail-1.05-tls-smtpauth-20060105.patch (autenticacao SMTP)
    - vpopmail 5.4.0 + sqwebmail 4.0.7 + autorespond 2.0.4 + ezmlm-0.53-idx-0.41 + qmailadmin 1.2.9
    - DB_File-1.809 + Time-HiRes-1.59 + maildrop-1.6.3 + tnef-1.2.3.1 + qmail-scanner-2.01 + Mail-SpamAssassin-3.1.4 + clamav 0.88.2
    - qmail-filter-1.0.4

    O arquivo /etc/tcp.smtp esta sem RELAYCLIENT (nenhuma linha). Todo mundo, tanto na LAN quanto de fora precisam ser autenticados, e todo mundo passa pelo qmailscanner. O arquivo é este aqui:
    192.168.200.:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
    127.0.0.1:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
    :allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"

    Ja tentei de fora usar o servidor sem autenticacao, e ele nao aceita.

    Ja testei na ORBL o meu IP e nao consta em nenhuma lista negra. Inclusive o teste de relay aberto tambem nao constou nada.

    Portanto, SUPOSTAMENTE o SMTP "deveria" estar seguro.

    ========================================

    Contudo, constam no qmail-remote um monte de emails, como se alguem estivesse usando meu servidor para mandar SPAMs!!! Vejam esta listagem parcial:
    19197 ? S 0:00 qmail-remote lcmlaw.com [email protected]
    20364 ? S 0:00 qmail-remote cmhregional.com [email protected]
    29642 ? S 0:00 qmail-remote fan.com [email protected]
    30419 ? S 0:00 qmail-remote cmpco.com [email protected]
    30510 ? S 0:00 qmail-remote criticomintl.com [email protected]
    30560 ? S 0:00 qmail-remote act-sys.com [email protected]

    O mais estranho é que o qmail-remote aparece com apenas DOIS parametros, sendo que obrigatoriamente ele deveria ter TRES!!! Parece que o parametro "sender" esta faltando, como se fosse alguem "nao identificado". Mas como poderia o qmail-remote aceitar apenas os dois parametros???

    Eu achei que poderia ser algum virus em uma estacao "integrado" ao cliente de email. Troquei a senha de todo mundo, deixei o pessoal umas 2 horas sem enviar email, limpei a fila do email com o "qmHandle -D". Mas poucos segundos depois comecaram a aparecer estes emails sinistros no qmail-remote de novo!!!

    Por exemplo, agora minha fila esta assim:
    [[email protected] qmailscanner]# qmHandle -s
    Messages in local queue: 2
    Messages in remote queue: 1023

    ou seja, tem UM MONTE de porcarias na fila. Isso esta matando o computador, porque o qmail (e principalmente spamassassin+clamav) estao matando a CPU, quase processando o tempo todo.

    ========================================

    Ja olhei o who, nao tem ninguem logado sem ser eu.
    Ja olhei o nmap e o netstat -a, nao achei portas conectadas estranhas, a nao ser as conexoes smtp que estao sinistras.

    O que mais eu posso olhar para descobrir o que esta ocorrendo? Preciso realmente da força do forum, porque meus cartuchos estao se esgotando...

  2. #2

    Padrão Re: QMail supostamente seguro e autenticado aceita envio de SPAM

    Descobri tambem que meu computador esta usando localhost=127.0.0.1/8. Eu mudei para 127.0.0.1/32, pois nos sites que pesquisei dizia que isso seria uma falha de seguranca. Agora o email parou de vez, nem que deveria enviar consegue... travou tudo... se volto para a mascara /8 fica tudo ok.



  3. #3

    Padrão Re: QMail supostamente seguro e autenticado aceita envio de SPAM

    cara jah q vc ta usando email autenticado e ele nao deixa enviar sem autenticar, pode ser que algum do seus usuarios tenha no outlook a senha do smtp salva, e algun virus/malware maldito esta enviando esses emails pela conta do cidadao infectado..

    Se seus usuarios sao locais vc cosnegue descobrir quem ta "infectado", da um qmail-qread, pega o id de alguma das mensagens, dps roda um find /var/qmail/queue -name ID, abre esse arquivo, ve qual eh o id do user logo no comeco da msg, e ai veja no passwd quem eh o user

  4. #4

    Padrão Re: QMail supostamente seguro e autenticado aceita envio de SPAM

    Eu usei sua dica e detectei que na verdade estes emails de lixo sao todos "bounced", retornos para enderecos que estao tentando mandar msgs para um "monte de [email protected]". Como varios emails nao existem, meu servidor esta tentando devolver msg de resposta. Olhei no site do qmail e parece que isso tem a ver com RCPT TO, mas nao consegui aplicar nenhum dos patches la listados, porque da erro, acho que conflita com o patch anterior do smtp-auth, entao as linhas de alteracao nao batem. Agora complicou...

    E como eu tinha trocado a senha de todo mundo e nao tinha passado a nova senha pra eles durante 2 horas, eu acabei concluindo que nao seria um "virus" no cliente de email do usuario.



  5. #5
    Edv
    Visitante

    Padrão Re: QMail supostamente seguro e autenticado aceita envio de SPAM

    Uala, Edmar!
    Tenho um QMail com tudo isso aí que vc falou cá comigo tb, rodando sobre slack 10.2 - kernel 2.6.12 - tudo atualizadinho, tudo bunitinho, seguindo o lfq e o qmailrocks

    E essas malditas msgs aparecem aqui tb. A sensação que eu tenho é que o estupro já ocorreu, entende? E agora estamos apenas recebendo o troco, por algo que nós nem fizemos.

    Me escreve aí, a gente troca umas figurinhas.

    [email protected]

  6. #6

    Padrão Re: QMail supostamente seguro e autenticado aceita envio de SPAM

    Eu entrei na lista oficial do QMail (vide link no www.qmail.org) e perguntei para o pessoal.
    Tive uma dificuldade tremenda porque me sugeriram rodar os patches do topico MAIL FROM (RCTP TO: verbs). Nenhum rodava por causa do patch do smtp-auth que uso.

    Hoje recebi um email do Ward Wandewege, passando um link de um cara que fez um patch do badrcptto que roda apos aplicar o patch do smtp-auth.

    O link é esse:
    http://www.jfoo.org/badrcptto.patch

    Rodou tudo blz. Consegui compilar o novo qmail, reinstalar o qmail-scanner 2.01 integrado com Clamav+Spamd e "aparentemente" tudo funcionou NA INSTALACAO.

    Mas ainda estao aparecendo msgs qmail-remote INUTEIS! Agora estou na duvida se estas sao algum "refugo" da fila, apesar que eu limpei a fila... mas vou aguardar ate segunda pra ver se melhora... senao vou mandar outra msg na lista do qmail.