Serveur postfix spammeur

Serveur postfix spammeur - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 26-04-2010 à 15:20:07    

Salut à tous,
 
J'ai quelques soucis avec mon serveur mail (postfix, postgrey, clamav, spamassasin...sous centos 5.3).
Depuis aujourd'hui lorsque je fais un postqueue -p j'ai la file suivante:  

Spoiler :

B208F1147D4*    2343 Mon Apr 26 13:22:47  uficio_servizi@cartabcc.it
                                         getty@libero.it
 
8E462114795*    2351 Mon Apr 26 13:22:10  uficio_servizi@cartabcc.it
                                         gestral@libero.it
 
00180114736     2371 Mon Apr 26 13:22:14  uficio_servizi@cartabcc.it
(host smtp.tin.it[62.211.72.32] refused to talk to me: 554 vsmtp17.tin.it Service not available - access denied)
                                         gesualda.tandoi@tin.it
 
59A9D11462C     2359 Mon Apr 26 13:22:06  uficio_servizi@cartabcc.it
(host fwlinux1.psys.it[83.103.23.99] said: 452 4.3.1 Insufficient system storage (in reply to MAIL FROM command))
                                         gestor@gestorspa.it
 
592581147E5     2339 Mon Apr 26 13:22:39  uficio_servizi@cartabcc.it
(host mx.9netweb.it[66.71.190.82] said: 451 4.7.1 Greylisted for 3 minutes - try again later (in reply to RCPT TO command))
                                         getra@getra.it
 
EBA2C114725     2395 Mon Apr 26 13:21:36  uficio_servizi@cartabcc.it
(host mail.isidenet.it[217.12.128.16] said: 421 Your address has been graylisted. Try again later. (in reply to RCPT TO command))
                                         gestione.output@iside.bcc.it
 
416D9114793     2339 Mon Apr 26 13:22:27  uficio_servizi@cartabcc.it
(host smtp.tin.it[62.211.72.32] refused to talk to me: 554 vsmtp8.tin.it Service not available - access denied)
                                         get_off@tin.it
 
3F8521147B8     2355 Mon Apr 26 13:22:35  uficio_servizi@cartabcc.it
(host mxrm.virgilio.it[62.211.72.32] refused to talk to me: 554 vsmtp22.tin.it Service not available - access denied)
                                         getitx@virgilio.it


 
Or aucun de ces noms de domaines ne m'appartiennent.
Mon serveur n'est pas openrelay (Test effectué ici http://www.abuse.net/relay.html et ici http://www.checkor.com/)
 
Je viens de fermer le port 25 car il ne me sert à rien (j'utilise le 465 et 587).
 
J'ai également ajouté cartabcc.it dans mon fichier /etc/postfix/header_cheker et /etc/postfix/access mais ca continu
 
Mais avez vous une idée d'où cela pourrait provenir et comment les bloquer?
En 3h j'ai près de 300 messages de ce type dans la queue!
Merci

Reply

Marsh Posté le 26-04-2010 à 15:20:07   

Reply

Marsh Posté le 26-04-2010 à 15:26:19    

Si je lis bien les messages d'erreurs, je serais tenté de dire qu'un équipement de ton réseau utilise ton serveur pour émettre un mail, probablement un mail de phishing
http://www.google.com/search?q=+uf [...] artabcc.it

Message cité 1 fois
Message édité par o'gure le 26-04-2010 à 15:26:52

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 26-04-2010 à 15:38:51    

o'gure a écrit :

Si je lis bien les messages d'erreurs, je serais tenté de dire qu'un équipement de ton réseau utilise ton serveur pour émettre un mail, probablement un mail de phishing
http://www.google.com/search?q=+uf [...] artabcc.it


 
C'est un serveur dédié. Il n'y a pas d'autres équipements réseaux.
Une idée à savoir comment je pourrais le bloquer?
 


Message édité par raclif le 26-04-2010 à 15:39:52
Reply

Marsh Posté le 26-04-2010 à 17:27:14    

dans un premier temps tu peux probablement  désactiver l'envoie des mails par le serveur web.


---------------
Intermittent du GNU
Reply

Marsh Posté le 26-04-2010 à 18:23:59    

mikala a écrit :

dans un premier temps tu peux probablement  désactiver l'envoie des mails par le serveur web.


 
 :) C'est un serveur en prod.

Reply

Marsh Posté le 26-04-2010 à 20:20:07    

raclif a écrit :


 
 :) C'est un serveur en prod.


et alors?
il y a énormément de chance que ce soit un script php à la con qui soit la cause de tous ces spams, le plus simple est donc d'interdire à apache de se servir de sendmail.
Ensuite dans les différents sites disponibles rien n'empêche de mettre en place un envoi des mails directement par le biais d'un connection sur localhost avec si possible une authentification différente par site hébergé, cela permettra de reconnaitre plus facilement les petits par la suite.
A conserver un serveur émetteur de spam, tu vas risquer (en production ou pas) une intervention de l'hébergeur qui va lui couper l'accès au net purement et simplement.


---------------
Intermittent du GNU
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed