Ataque Postfix.

Discussion:

Ataque Postfix.

Wilmer Arambula

2014-07-04 11:21:06 UTC

Buenos dias lista tengo muchos mensajes en el log de postfix:

Jul 3 23:20:05 server postfix/smtp[26576]: 53EB336C41DD: to=<
karla.2819-ABApGQIY+***@public.gmane.org>, relay=none, delay=23680, delays=23649/0.61/30/0,
dsn=4.4.1, status=deferred (connect to hotmial.com[64.99.64.37]:25:
Connection timed out)
Jul 4 00:29:34 server postfix/qmgr[1306]: 53EB336C41DD: from=<
apache-AeIHp3KhLzpFz3UpDI/ERgC/***@public.gmane.org>, size=3818, nrcpt=1 (queue active)
Jul 4 00:30:05 server postfix/smtp[26925]: connect to
hotmial.com[64.99.64.37]:25:
Connection timed out

Creo que estÃ¡n intentando mandar correos desde el servidor alguna
sugerencia, tengo fail2ban funcionando,

Saludos,

--
*Wilmer Arambula. *

*Asoc. Cooperativa Tecnologia Terabyte 124, RL.*

Carlos Martinez

2014-07-04 15:59:19 UTC

Permalink

Saludos.

Post by Wilmer Arambula
Jul 3 23:20:05 server postfix/smtp[26576]: 53EB336C41DD: to=<
Connection timed out)
Jul 4 00:29:34 server postfix/qmgr[1306]: 53EB336C41DD: from=<
Connection timed out

Este segmento de log no dice gran cosa:

1) Postfix intenta conectar al mx de hotmial.com (note que el dominio estÃ¡
mal escrito)
2) el mx de hotmial.com no responde
3) Postfix va a intentar mas tarde
4) El correo viene server.prueba.com

Falta saber lo siguiente:

1) DÃ³nde estÃ¡ server.prueba.com
2) QuÃ© hay corriendo en server.prueba.com (cÃ³mo se mandÃ³ el correo)
3) Â¿Hay muchos correos en la cola?
4) Â¿EstÃ¡ el servidor reportado en listas negras?
5) Manejas autenticaciÃ³n de SMTP
6) Â¿En server.prueba hay una aplicaciÃ³n web con un formulario para el envÃo
de correos mal diseÃ±ado/programado?
7) Â¿server.prueba hace parta de tu plataforma?

Fail2ban en este caso no sirve de gran cosa. Se usa (lo he usado) para
bloquear fallos en la autenticaciÃ³n SMTP; no para bloquear envÃos de correo
masivo.

Post by Wilmer Arambula
Creo que estÃ¡n intentando mandar correos desde el servidor alguna
sugerencia, tengo fail2ban funcionando,
Saludos,

j***@public.gmane.org

2014-07-05 11:57:49 UTC

Permalink

El dominio no existe.

Tienes esos mensajes en cola? (Mailq)

Si tus acl de postfix estan correctas, esos mensajes no deberian quedar en cola.

Si esos mensajes salen del servidor, te han pillado la clave.

Valida que tu postfix autentica el smtp.

Fail2ban es de ayuda para bloquear ese tipo de ataques.

Enviado desde mi celular

-----Original Message-----
From: Wilmer Arambula <tecnologiaterabyte-***@public.gmane.org>
Sender: "postfix-es" <postfix-es-bounces+j.sejo1=gmail.com-C4dRjWyEhVa+OC/***@public.gmane.org>Date: Fri, 4 Jul 2014 06:51:06
To: <postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org>
Subject: [postfix-es] Ataque Postfix.

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
postfix-es-C4dRjWyEhVa+OC/***@public.gmane.org
http://lists.wl0.org/mailman/listinfo/postfix-es