Discussion:
spam desde BackUp MX
David López
2014-04-10 10:48:57 UTC
Permalink
Buenas,

tengo un sistema con postfix+dovecto+spamassassin.... y un MX secundario
que me hace de backup. Ahora mismo es sistema funciona bastante bien en
cuanto a spam se refiere. aún así he comprobado que la mayoría el spam que
recibo me viene desde la ip del backup MX. ¿Se os ocurre alguna manera de
evitarlo? Había pensado en enviar todo el correo de dicha IP a una cuenta
del estilo backup-***@public.gmane.org pero la verdad es que no tengo muy claro
como hacerlo. Cualquier idea es bienvenida ya que ando un poco perdido.
Gracias por adelantado,

David

P.D. El MX secundario no lo controlo yo y no puedo hacer modificación
alguna en el.
Nicolas GLiksberg
2014-04-11 06:36:08 UTC
Permalink
¿Tienes acceso al servidor DNS?, podrias probar bajarlo de produccion un
poco y ver si cambia la cantidad de spam que te esta llegando.


Saludos
n como hacerlo. El tema de las greylist no lo puedo poner debido
también al
Joseba Torre
2014-04-11 12:12:24 UTC
Permalink
En mi experiencia, los backup mx fueron útiles hace muchos años, cuando
las conexiones eran realmente inestables y podías estar días abajo.

Ahora mismo son una fuente de problemas, porque siempre son menos
estrictos en las reglas antispam, y los spammers además lo saben. Si en
algún momento tienes alguna caída de servicio los smtp origen tienen que
mantener los mensajes encolados unos días (¿era 3 el mínimo?), y en ese
tiempo deberías volver a estar disponible, así que realmente la solución
a tu problema es prescindir del backup mx.

Aaaaaaagur.
David López
2014-04-11 09:40:19 UTC
Permalink
Buenas,

Perdona por tardar en contestar. Adjunto las cabeceras de un ejemplo:

Return-Path: <MIUSUARIO-***@public.gmane.org>
Delivered-To: ***@MIDOMINIO
Received: from localhost (localhost [127.0.0.1])
by MIHOST.MIDOMINIO (Postfix) with ESMTP id 6333517C17B1
for <***@MIDOMINIO>; Wed, 9 Apr 2014 09:28:57 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at MIHOST.MIDOMINIO
Received: from MIHOST.MIDOMINIO ([127.0.0.1])
by localhost (MIHOST.MIDOMINIO [127.0.0.1]) (amavisd-new, port
10024)
with ESMTP id SEW777hk1E_h for <***@MIDOMINIO>;
Wed, 9 Apr 2014 09:28:52 +0200 (CEST)
Received: from MX_BACKUP.COM (MX_BACKUP [XXX.XXX.XXX.XXX])
by MIHOST.MIDOMINIO (Postfix) with ESMTP id 159EC17C17A8
for <***@MIDOMINIO>; Wed, 9 Apr 2014 09:28:52 +0200 (CEST)
Received: from [66.25.215.72] by MX_BACKUP.COM with SMTP (EHLO
cpe-66-25-215-72.tx.res.rr.com)
(ArGoSoft Mail Server Pro for WinNT/2000/XP, Version 1.8 (1.8.9.1)); Wed,
9 Apr 2014 09:29:13 +0200
MIME-Version: 1.0
Date: Wed, 09 Apr 2014 02:29:02 -0500
Delivered-To: ***@MIDOMINIO
Message-ID: <RTQxRTk4NURDQQ==E9D62ABE7136F2E71D-3uj+***@public.gmane.org>
Subject: Our New Stock Pick!
From: "Trading Wall ST" <MIUSUARIO-***@public.gmane.org>
To: MIUSUARIO <***@MIDOMINIO>
Content-Type: multipart/related; boundary=2eb72f20227e994e8617f7d6e599
X-Envelope-From: MIUSUARIO-***@public.gmane.org
X-Envelope-To: ***@MIDOMINIO

--2eb72f20227e994e8617f7d6e599
Content-Type: multipart/alternative; boundary=38a03c731dc1156e1a13c64fae7e

--38a03c731dc1156e1a13c64fae7e
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64




El 10 de abril de 2014, 13:18, Rodrigo Nicolas Gliksberg Diaz <
Es posible que hallan hecho Relay con tu backupmx, revisa los logs, las
cabeceras del spam, postealas aquia para ver.
Saludos
Post by David López
Buenas,
tengo un sistema con postfix+dovecto+spamassassin.... y un MX secundario
que me hace de backup. Ahora mismo es sistema funciona bastante bien en
cuanto a spam se refiere. aún así he comprobado que la mayoría el spam que
recibo me viene desde la ip del backup MX. ¿Se os ocurre alguna manera de
evitarlo? Había pensado en enviar todo el correo de dicha IP a una cuenta
como hacerlo. Cualquier idea es bienvenida ya que ando un poco perdido.
Gracias por adelantado,
David
P.D. El MX secundario no lo controlo yo y no puedo hacer modificación
alguna en el.
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
http://lists.wl0.org/mailman/listinfo/postfix-es
David López
2014-04-11 11:03:19 UTC
Permalink
Buenas otra vez,

Ya uso RBLs y la verdad es que se nota mucho ( a pesar de que sorbs en
alguna ocasión me ha dado falsos positivos o eso me lo ha parecido) Ahora
mismo voy a testear sus registros a ver que resultados me arroja. El
problema como comentaba es la imposibilidad de acceder al otro servidor. De
ahí que estaba mirando de buscar la manera de enviar todo el correo
procedente de dicha IP a una cuenta o similar. La verdad es que no sé muy
bien como hacerlo. El tema de las greylist no lo puedo poner debido también
al backup...En general me limita mucho ya que si simplemente tuviera un
sistema antispam decente estoy seguro que se solventaría la mayoría de mis
problemas pero básicamente no puedo acceder ni a logs ni a la configuración
del backup. Compruebo que no hagan openrelay y a ver que saco en claro.
Cualquier idea teniendo en cuenta que ahora mismo no puedo ni cambiar el
servicio de backup ni tocar configuración del mismo es más que bienvenida.
Gracias pro adelantado,
David


El 11 de abril de 2014, 12:42, Rodrigo Nicolas Gliksberg Diaz <
Tienes que investigar un poco mas sobre el tema, aun es posible que hagan
Relay del backup mx, o puede ser que simplemente tenga mas prioridad el MX
backup en los dns que primero llegan ahi los mailks luegos son entregados,
el tema de spamassasin hay que enseñarle, te recoeindo listas RBL, SBL,
XBL, spamhaus, spamcop, chequeando con esas listas tenes un 70% afuera de
spam.
Saludos
Buenas,
Post by David López
Received: from localhost (localhost [127.0.0.1])
by MIHOST.MIDOMINIO (Postfix) with ESMTP id 6333517C17B1
X-Virus-Scanned: Debian amavisd-new at MIHOST.MIDOMINIO
Received: from MIHOST.MIDOMINIO ([127.0.0.1])
by localhost (MIHOST.MIDOMINIO [127.0.0.1]) (amavisd-new, port
10024)
Wed, 9 Apr 2014 09:28:52 +0200 (CEST)
Received: from MX_BACKUP.COM (MX_BACKUP [XXX.XXX.XXX.XXX])
by MIHOST.MIDOMINIO (Postfix) with ESMTP id 159EC17C17A8
Received: from [66.25.215.72] by MX_BACKUP.COM with SMTP (EHLO
cpe-66-25-215-72.tx.res.rr.com)
(ArGoSoft Mail Server Pro for WinNT/2000/XP, Version 1.8 (1.8.9.1));
Wed, 9 Apr 2014 09:29:13 +0200
MIME-Version: 1.0
Date: Wed, 09 Apr 2014 02:29:02 -0500
Subject: Our New Stock Pick!
Content-Type: multipart/related; boundary=2eb72f20227e994e8617f7d6e599
--2eb72f20227e994e8617f7d6e599
Content-Type: multipart/alternative; boundary=38a03c731dc1156e1a13c64fae7e
--38a03c731dc1156e1a13c64fae7e
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64
El 10 de abril de 2014, 13:18, Rodrigo Nicolas Gliksberg Diaz <
Es posible que hallan hecho Relay con tu backupmx, revisa los logs, las
cabeceras del spam, postealas aquia para ver.
Saludos
Post by David López
Buenas,
tengo un sistema con postfix+dovecto+spamassassin.... y un MX
secundario que me hace de backup. Ahora mismo es sistema funciona bastante
bien en cuanto a spam se refiere. aún así he comprobado que la mayoría el
spam que recibo me viene desde la ip del backup MX. ¿Se os ocurre alguna
manera de evitarlo? Había pensado en enviar todo el correo de dicha IP a
tengo muy claro como hacerlo. Cualquier idea es bienvenida ya que ando un
poco perdido. Gracias por adelantado,
David
P.D. El MX secundario no lo controlo yo y no puedo hacer modificación
alguna en el.
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
http://lists.wl0.org/mailman/listinfo/postfix-es
BhEaN
2014-04-11 13:44:08 UTC
Permalink
Buenas,

Seguramente la prioridad en los registros MX la tienes perfectamente
configurada... pero los spamers suelen utilizar precisamente los
servidores secundarios (en lugar de los principales) precisamente porque
suelen estar menos "ajustados" con respecto a éstos temas. Yo administro
varios servidores de correo, y en todos ellos desde hace muchos años que
veo que los emails de spam intentan utilizar precisamente los
secundarios (los que estan configurados con menor prioridad, es decir,
los que tienen configurado un número mayor en el registro MX del DNS del
dominio en cuestión)

Por lo tanto, cualquier cosa que configures para intentar frenar el
spam, deberías implementarla en todos los servidores implicados, no solo
en el principal...

Saludos,
Post by David López
Buenas otra vez,
Ya uso RBLs y la verdad es que se nota mucho ( a pesar de que sorbs en
alguna ocasión me ha dado falsos positivos o eso me lo ha parecido)
Ahora mismo voy a testear sus registros a ver que resultados me
arroja. El problema como comentaba es la imposibilidad de acceder al
otro servidor. De ahí que estaba mirando de buscar la manera de enviar
todo el correo procedente de dicha IP a una cuenta o similar. La
verdad es que no sé muy bien como hacerlo. El tema de las greylist no
lo puedo poner debido también al backup...En general me limita mucho
ya que si simplemente tuviera un sistema antispam decente estoy seguro
que se solventaría la mayoría de mis problemas pero básicamente no
puedo acceder ni a logs ni a la configuración del backup. Compruebo
que no hagan openrelay y a ver que saco en claro. Cualquier idea
teniendo en cuenta que ahora mismo no puedo ni cambiar el servicio de
backup ni tocar configuración del mismo es más que bienvenida. Gracias
pro adelantado,
David
El 11 de abril de 2014, 12:42, Rodrigo Nicolas Gliksberg Diaz
Tienes que investigar un poco mas sobre el tema, aun es posible
que hagan Relay del backup mx, o puede ser que simplemente tenga
mas prioridad el MX backup en los dns que primero llegan ahi los
mailks luegos son entregados, el tema de spamassasin hay que
enseñarle, te recoeindo listas RBL, SBL, XBL, spamhaus, spamcop,
chequeando con esas listas tenes un 70% afuera de spam.
Saludos
Buenas,
Received: from localhost (localhost [127.0.0.1])
by MIHOST.MIDOMINIO (Postfix) with ESMTP id 6333517C17B1
X-Virus-Scanned: Debian amavisd-new at MIHOST.MIDOMINIO
Received: from MIHOST.MIDOMINIO ([127.0.0.1])
by localhost (MIHOST.MIDOMINIO [127.0.0.1])
(amavisd-new, port 10024)
Wed, 9 Apr 2014 09:28:52 +0200 (CEST)
Received: from MX_BACKUP.COM <http://MX_BACKUP.COM> (MX_BACKUP
[XXX.XXX.XXX.XXX])
by MIHOST.MIDOMINIO (Postfix) with ESMTP id 159EC17C17A8
Received: from [66.25.215.72] by MX_BACKUP.COM
<http://MX_BACKUP.COM> with SMTP (EHLO
cpe-66-25-215-72.tx.res.rr.com
<http://cpe-66-25-215-72.tx.res.rr.com>)
(ArGoSoft Mail Server Pro for WinNT/2000/XP, Version 1.8
(1.8.9.1)); Wed, 9 Apr 2014 09:29:13 +0200
MIME-Version: 1.0
Date: Wed, 09 Apr 2014 02:29:02 -0500
Subject: Our New Stock Pick!
Content-Type: multipart/related;
boundary=2eb72f20227e994e8617f7d6e599
--2eb72f20227e994e8617f7d6e599
Content-Type: multipart/alternative;
boundary=38a03c731dc1156e1a13c64fae7e
--38a03c731dc1156e1a13c64fae7e
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64
El 10 de abril de 2014, 13:18, Rodrigo Nicolas Gliksberg Diaz
Es posible que hallan hecho Relay con tu backupmx, revisa
los logs, las cabeceras del spam, postealas aquia para ver.
Saludos
El 10 de abril de 2014, 12:48, David López
Buenas,
tengo un sistema con postfix+dovecto+spamassassin....
y un MX secundario que me hace de backup. Ahora mismo
es sistema funciona bastante bien en cuanto a spam se
refiere. aún así he comprobado que la mayoría el spam
que recibo me viene desde la ip del backup MX. ¿Se os
ocurre alguna manera de evitarlo? Había pensado en
enviar todo el correo de dicha IP a una cuenta del
tengo muy claro como hacerlo. Cualquier idea es
bienvenida ya que ando un poco perdido. Gracias por
adelantado,
David
P.D. El MX secundario no lo controlo yo y no puedo
hacer modificación alguna en el.
_______________________________________________
List de correo postfix-es para tratar temas del MTA
postfix en español
http://lists.wl0.org/mailman/listinfo/postfix-es
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
http://lists.wl0.org/mailman/listinfo/postfix-es
David López
2014-04-11 13:57:56 UTC
Permalink
Buenas,

Pues la verdad es que si. Normalmente no tengo más paradas que alguna
prevista durante alguna noche de fin de semana por mantenimiento y la
verdad es que solo me dan problemas como comento la inmensa mayoría de
mensajes de spam proceden de ahí.... Bueno gracias y ya miraré a ver si
logro convencer a mi jefe. Por curiosidad lo que comentaba en el primer
mail ¿redirigir todo el tráfico de una IP a una cuenta sabeís si es posible
hacerlo? Es solo curiosidad ya que voy a mirar de quitar el backup (Si
rompo alguna regla de la lista al preguntar sobre otro topic, aunque estaba
en mi pregunta inicial, por favor ignorar la pregunta ya que voy a mirar de
eliminar el backup). Bueno sea como sea muchas gracias,

David
Yo no uso backup mx
Solo preferencia 10. 20. 30. Etc.
Para efectos de varios smtp.
No entiendo lo del spam.
Enviado desde mi celular
-----Original Message-----
Thu, 10 Apr 2014 12:48:57
Subject: [postfix-es] spam desde BackUp MX
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
http://lists.wl0.org/mailman/listinfo/postfix-es
j***@public.gmane.org
2014-04-11 13:15:48 UTC
Permalink
Yo no uso backup mx

Solo preferencia 10. 20. 30. Etc.

Para efectos de varios smtp.

No entiendo lo del spam.





Enviado desde mi celular

-----Original Message-----
From: David López <sralbiz-***@public.gmane.org>
Sender: "postfix-es" <postfix-es-bounces+j.sejo1=gmail.com-C4dRjWyEhVa+OC/***@public.gmane.org>Date: Thu, 10 Apr 2014 12:48:57
To: <postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org>
Subject: [postfix-es] spam desde BackUp MX

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org
http://lists.wl0.org/mailman/listinfo/postfix-es

Loading...