Urgente Solução

[spyderlinux]

Senhores, alguma máquina em minha rede pegou virus.
Estou com diversos problemas agora.
1 - Como encontrar qual a máquina que pegou o virus e Spam.
2 - Ontem meu email estava bloqueado na CBL e eu retirei, mas agora estou com problemas de estar com meu domínio em listas de blacklist.
Como tirar isso rapidamente.

Estou vendo algo com o Spamhaus mas mesmo assim, até eu ler a documentação do site em inglês para aplicar ja mi prejudicou totalmente.
Alguma solução ?
Utilizo o Qmail e meu relay está fechado.

[irado]

o melhor a fazer é analisar o tráfego de rede. Instale o NTop no servidor, deixe funcionar por um dia/dois e depois analise o tráfego. Claro que o que interessa é o smtp, portanto.. avalie.

Outro: tcpdum gerando um arquivo, já filtrado, pra ser lido pelo wireshark ou pelo próprio ntop (man tcpdump)

Ou então use o próprio wireshark "olhando" para sua rede; não esqueça de estabelecer a filtragem por smtp/porta.

Finalmente: iptraf com filtragem e log. Mas eu prefiro os outros


divirta-se.

[mtec]

Use o tcpdump na interface do firewall, que passam os pacotes para internet.

Desocnfie principalmente do tráfego passante nas portas 137:139 e 445. Se tiver banco MSQL, 1433. Estas portas são usadas frequentemente por vírus conhecidos!!

Até

mtec

[4nderson]

Tem certeza que seu relay esta realmente fechado ??

recomendo utilizar a opcao de Meu servidor requer autenticação segura,
afim de evitar envio de email's sem essa opção,
para tal vc tem que criar os certificados ssl e testa-los

modificar o tcp.smtp com opcao de REQUIREAUTH='' para sua rede
atraves do tcprules

restartar os serviços
qmailctl cdb; qmailctl restart

abraços

[xstefanox]

Você poderia descobrir facilmente a origem dos e-mails em massa se você utilizasse uma ferramenta para tratar os seus logs, como o qmailanalog. Você pode também jogar os logs para o OpenOffice Calc e mexer um pouco com umas tabelas dinâmicas para gerar os relatórios que você quer.

Eu não conheço nenhuma outra forma de se manter fora das blocked lists a não ser enviar e-mails para os responsáveis, entretanto existem algumas atitudes que ajudam bastante para evitar isso, como limitar a quantidade de conexões daquele usuário por tempo (i.e. o usuário só pode enviar e-mails de 60 em 60 segundos) e limitar a quantidade de destinatários. Isso já me ajudou bastante à evitar esse tipo de problema.

[spyderlinux]

Obrigado pelas SÁBIAS palavras X.
Sempre suas dicas ajudam.
Teria algum link para eu obter informações disso que você citou ?
Como o lance de tempo de 60s para enviar e-mails.
Att,

[xstefanox]

Tem um patch do qmail chamado maxrcpt. Com ele, o qmail lê um arquivo dentro de /var/qmail/control/maxrecipients onde está um número inteiro que representa a quantidade de destinatários permitidos para cada mensagem.

Agora, o esquema de conexão se bem me lembro tem no lifewithqmail.


Abraços!