Ola,
Tenho um servidor rodando:
- Fedora Core 2 + kernel 2.6.10-1.8_FC2
- netqmail 1.05 + ucspi 0.88 + daemon-tools 0.76 + patches padroes (vide site lwq)
- netqmail-1.05-tls-smtpauth-20060105.patch (autenticacao SMTP)
- vpopmail 5.4.0 + sqwebmail 4.0.7 + autorespond 2.0.4 + ezmlm-0.53-idx-0.41 + qmailadmin 1.2.9
- DB_File-1.809 + Time-HiRes-1.59 + maildrop-1.6.3 + tnef-1.2.3.1 + qmail-scanner-2.01 + Mail-SpamAssassin-3.1.4 + clamav 0.88.2
- qmail-filter-1.0.4
O arquivo /etc/tcp.smtp esta sem RELAYCLIENT (nenhuma linha). Todo mundo, tanto na LAN quanto de fora precisam ser autenticados, e todo mundo passa pelo qmailscanner. O arquivo é este aqui:
192.168.200.:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
127.0.0.1:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
Ja tentei de fora usar o servidor sem autenticacao, e ele nao aceita.
Ja testei na ORBL o meu IP e nao consta em nenhuma lista negra. Inclusive o teste de relay aberto tambem nao constou nada.
Portanto, SUPOSTAMENTE o SMTP "deveria" estar seguro.
========================================
Contudo, constam no qmail-remote um monte de emails, como se alguem estivesse usando meu servidor para mandar SPAMs!!! Vejam esta listagem parcial:
19197 ? S 0:00 qmail-remote lcmlaw.com [email protected]
20364 ? S 0:00 qmail-remote cmhregional.com [email protected]
29642 ? S 0:00 qmail-remote fan.com [email protected]
30419 ? S 0:00 qmail-remote cmpco.com [email protected]
30510 ? S 0:00 qmail-remote criticomintl.com [email protected]
30560 ? S 0:00 qmail-remote act-sys.com [email protected]
O mais estranho é que o qmail-remote aparece com apenas DOIS parametros, sendo que obrigatoriamente ele deveria ter TRES!!! Parece que o parametro "sender" esta faltando, como se fosse alguem "nao identificado". Mas como poderia o qmail-remote aceitar apenas os dois parametros???
Eu achei que poderia ser algum virus em uma estacao "integrado" ao cliente de email. Troquei a senha de todo mundo, deixei o pessoal umas 2 horas sem enviar email, limpei a fila do email com o "qmHandle -D". Mas poucos segundos depois comecaram a aparecer estes emails sinistros no qmail-remote de novo!!!
Por exemplo, agora minha fila esta assim:
[root@localhost qmailscanner]# qmHandle -s
Messages in local queue: 2
Messages in remote queue: 1023
ou seja, tem UM MONTE de porcarias na fila. Isso esta matando o computador, porque o qmail (e principalmente spamassassin+clamav) estao matando a CPU, quase processando o tempo todo.
========================================
Ja olhei o who, nao tem ninguem logado sem ser eu.
Ja olhei o nmap e o netstat -a, nao achei portas conectadas estranhas, a nao ser as conexoes smtp que estao sinistras.
O que mais eu posso olhar para descobrir o que esta ocorrendo? Preciso realmente da força do forum, porque meus cartuchos estao se esgotando...