Conta gmail se autenticando no meu servidor e enviando spans

mschott
(usa Debian)

Enviado em 29/10/2012 - 15:52h

Boa tarde!
Estou com um problema no meu servidor de e-mail, tem uma conta maricelgarbo85@gmail.com se autenticando no nosso servidor de e-mails e enviando spans através dele, consultando o ID da mensagem, constatei que ele se autentica atraves de um outro servidor nosso de hospedagens de clientes, como mostrado abaixo:

create_time: Mon Oct 29 15:46:17 2012
named_attribute: rewrite_context=remote
sender: maricelgarbo85@gmail.com
named_attribute: log_client_name=lars.netvale.com.br
named_attribute: log_client_address=200.145.133.11
named_attribute: log_client_port=58952
named_attribute: log_message_origin=lars.netvale.com.br[200.145.133.11]:58952
named_attribute: log_helo_name=112.210.37.123
named_attribute: log_protocol_name=SMTP
named_attribute: client_name=lars.viavale.com.br
named_attribute: reverse_client_name=lars.netvale.com.br
named_attribute: client_address=200.145.133.11
named_attribute: client_port=58952
named_attribute: helo_name=112.210.37.123
named_attribute: protocol_name=SMTP
named_attribute: client_address_type=2
warning_message_time: Mon Oct 29 17:46:17 2012
named_attribute: dsn_orig_rcpt=rfc822;billmillerconst@yahoo.com
original_recipient: billmillerconst@yahoo.com
recipient: billmillerconst@yahoo.com
*** MESSAGE CONTENTS active/9AB7AC4E57 ***
Received: from 112.210.37.123 (lars.netvale.com.br [200.145.133.11])



o ip 200.145.133.11 e o host lars.netvale.com.br é do nosso servidor de hospedagens, não estou conseguindo bloquear o envio dessa conta, ele esta mandando e-mail de minuto em minuto, alguma alma caridosa aí pra me dar alguma dica? Desde já agradeço!!

danniel-lara
(usa Fedora)

Enviado em 29/10/2012 - 16:00h

bah pelo visto é serio
tu esta postando em tudo que é lugar hehehehe

bom seguinte verifica se tem algum processo de algum usuário suspeito

mschott
(usa Debian)

Enviado em 29/10/2012 - 16:05h

sim, hahaha
to precisando muito resolver isso, já tentei várias coisas, por causa disso a reputação do meu servidor ta baixa, ai nao consigo enviar e-mails para o terra por exemplo.

alexhctp
(usa Linux Mint)

Enviado em 29/10/2012 - 18:18h

Oi, um palpite pra ti... se o ip que loga no seu servidor é o mesmo, você pode bolar uma regra no seu firewall que dropa as requisições originadas nele...
Como tu ta com pressa, sugiro que analise essa possibilidade, enquanto isso, vou estudando o seu caso no meu tempo (pode ser rápido ou demorado rsrs)

Por hora, considere a dica de barrar esse [*****] com o iptables.
Abraço!

mschott
(usa Debian)

Enviado em 29/10/2012 - 19:23h

dai Alex, o servidor que se loga nao eh o mesmo do servidor de e-mail mas estão na mesma faixa de IP (200.145.133.XX), acho que é uma opção para me dar tempo, na verdade peguei essa estrutura pronta de um outro admin que saiu da empresa, tinha pouca experiência com postfix, mas to pegando o jeito, o pior que é que o firewall um pf (freeBSD), mas acho que vou me achar, vlw pela dica!! ;)

andrecanhadas
(usa Debian)

Enviado em 29/10/2012 - 21:11h

Configure a autenticação no seu postfix ele deve esta aberto e permitindo envio sem autenticação.

Faça um teste:
http://mxtoolbox.com/diagnostic.aspx

alexhctp
(usa Linux Mint)

Enviado em 30/10/2012 - 08:13h

Bem lembrado... autenticação pode causar essas falhas, excelente dica, andrecanhadas!

mschott
(usa Debian)

Enviado em 30/10/2012 - 10:14h

achei isso nas configurações do postfix:

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydomain
broken_sasl_auth_clients = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes
smtpd_client_port_logging = yes


Me parece que ele esta solicitando autenticação.

alexhctp
(usa Linux Mint)

Enviado em 30/10/2012 - 10:46h

Reveja as configurações do postfix, se seu server roda em sistema baseado em Debian, você pode dar um

dpkg-reconfigure postfix 

e mudar a forma de operação dele. Como você já tem um domínio registrado, certifique-se de que o postfix esta usando o método de envio correto, sugiro que leia esse trecho da documentação do postfix referente a essa questao: http://www.postfix.org/BASIC_CONFIGURATION_README.html#relayhost

Aguardo sua posição...

Ate breve.

mschott
(usa Debian)

Enviado em 30/10/2012 - 10:51h

e pra piorar é uma máquina gentoo.

mschott
(usa Debian)

Enviado em 30/10/2012 - 11:20h

tem um arquivo mynetworks que estava liberado acesso de todas os meus servidores, tirei o meu servidor de hospedagem que estava enviando spans e aparentemente resolveu, pelo menos me deu um tempo agora para achar uma melhor alternativa.

andrecanhadas
(usa Debian)

Enviado em 30/10/2012 - 11:28h

Pode ser algum script de envio de email nessa maquina que esta sendo usado por alguem de fora. tipo um PHP

Mas faça o teste que sugeri acima e se tiver algum em vermelho sua reputação esta baixa.