No hay nada mejor que despertarse un sábado tranquilamente y encontrarse con que tu proveedor de hosting te ha bloqueado la salida del puerto 25 porque tu servidor está enviando spam. Nada, al teclado. Accedemos como root y listamos la cola de correos con el comando mailq, ya que utilizamos Postfix. Me encuentro con que la cola está llena de emails enviados desde una cuenta que no existe de un dominio que sí está alojado en el servidor. Borro los mensajes con el siguiente comando, el cual solo borra los mensajes que tienen como from o to a jordi@dominioinfectado.com. Cuenta ficticia, evidentemente ;-) postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } / jordi@dominioinfectado\.com/ { print $1 }' | tr -d '*!' | postsuper -d - Vuelvo a listar a la cola con mailq a los dos segundos y veo que vuelven a aparecer mensajes de spam de esa dirección. Como era de esperar, el script que los genera está activo. Paro el servicio de Apache con service apache stop, vuelvo a lanzar el … [Read more...] about Eliminar spam de la cola de Postfix en Ubuntu
spam
Eliminar el correo spam de la cola del mail (Parte IV)
En el post anterior analizábamos los logs del servicio de mail buscando comprobar los orígenes del spam. En este punto ya hemos tomado medidas y ahora sólo nos queda eliminar el spam residual que aún tenemos en la cola de mensajes. Recordemos que el puerto 25 ha sido bloqueado por mi proveedor de hosting a modo preventivo hasta que se solucione el problema del spam. A meterse en harina, pues!!! Como ya hemos comentado en el primer post, para visualizar la cola utilizamos el script de John Simpson que sustituye al qmail-qread. Para eliminar los correosno deseados de la misma utilizamos qmail-remove. Listando los emails pendientes vemos que el spam aparece siempre marcado como bouncing. Vamos a utilizar esa peculiaridad para filtrar los emails y por tanto eliminarlos. Esto nos elimina una buena parte del spam. for i in `./qmail-qread | grep bouncing | awk {'print $8'}` ; do qmail-remove -p $i -r; done Volviendo a listar podemos ver el patrón que nos ofrece el spam. 6 Feb … [Read more...] about Eliminar el correo spam de la cola del mail (Parte IV)
Como analizar el log de mails buscando el origen del spam (parte III)
En el post anterior identificábamos cual era el dominio que está generando el spam. Vamos a contrastarlo con el log del servidor de mail. En Plesk, los logs, los podemos encontrar en /usr/local/psa/var/log/ En concreto este comando nos permitirá verlo en tiempo real. tail -f /usr/local/psa/var/log/maillog Aquí os dejo un bloque de ejemplo de una operación de envío completa: Oct 3 16:50:19 dv qmail: 1223077819.930048 new msg 163786382 Oct 3 16:50:19 dv qmail: 1223077819.930096 info msg 163786382: bytes 860 from <> qp 24106 uid 2522 Oct 3 16:50:19 dv qmail: 1223077819.937789 starting delivery 2: msg 163786382 to local 2-user@example.com Oct 3 16:50:19 dv qmail: 1223077819.937835 status: local 1/10 remote 0/20 Oct 3 16:50:19 dv qmail-local-handlers[24107]: Handlers Filter before-local for qmail started ... Oct 3 16:50:19 dv qmail-local-handlers[24107]: from= Oct 3 16:50:19 dv qmail-local-handlers[24107]: to=user@example.com Oct 3 16:50:20 dv qmail: … [Read more...] about Como analizar el log de mails buscando el origen del spam (parte III)
Buscando el origen del spam en las notificaciones (parte II)
En el post anterior hemos llegado a ver la cola de correo de nuestro servidor y con ella hemos confirmado que tenemos un problema. Hay spam en ella y no deberíamos permitir que el email saliera del servidor hasta que la limpiemos. Pero no adelantemos acontecimientos. Vamos a analizar lo que nos dicen los emails que nos ha enviado el servidor. Hi. This is the qmail-send program at programadorphp.ovh.net. I tried to deliver a bounce message to this address, but the bounce bounced! <ana.tucovic@yahoo.com>:66.196.118.34 failed after I sent the message.Remote host said: 554 Message not allowed - [299] --- Below this line is the original bounce. Si analizamos el principio del email que nos envía nuestro servidor podremos leer que no es capaz de hacer llegar los mensajes de error a la dirección de origen ana.tucovic@yahoo.com, y no es de extrañar. No existe. Además no tiene sentido que nuestro servidor envíe con ese from. A continuación sigue la parte que se corresponde … [Read more...] about Buscando el origen del spam en las notificaciones (parte II)
Cómo desbloquear un servidor que envía spam (parte I)
Como administrador de un servidor de cuando en cuando te llegan emails del servicio de mail indicándote que algunos mails no han podido ser entregados. Puede ser lo más normal. Un usuario ha escrito una dirección incorrecta y tu servidor recibe una notificación del servidor destino donde se le indica que esa cuenta no existe y que no puede entregar el email. Hasta ahí, nada nuevo bajo el Sol. A veces ese email de sistema no llega sólo, lo acompañan varios emails del mismo estilo o simplemente te fijas en el detalle de los emails enviados y ves que la dirección de origen no pertenece a tu servidor. Lo primero que te viene a la cabeza en ese caso es una palabro malsonante que pronuncias para tus adentros. Spam, señores. Tu servidor ha estado enviando emails de spam. Realmente sigue sin haber nada nuevo bajo el Sol. Pasa todos los días e Internet ha sobrevivido a pesar de ese lastre. Forma parte del tráfico natural de la red y de sus células, nuestros queridos servidores. Un … [Read more...] about Cómo desbloquear un servidor que envía spam (parte I)