Servidores de e-mails [RESOLVIDO]

1. Servidores de e-mails [RESOLVIDO]

Edir Arnaldo de Oliveira Bonametti
EddyBin

(usa CentOS)

Enviado em 11/01/2013 - 09:07h

Bom dia Prezados,

Estou passando por um problema serio em um cliente aqui na empresa.

Seguinte, O servidor de e-mail que eles utilizam esta com um problema serio
de spawn, o ip do servidor já esta listado na blacklist e não esta nem mandando
mais e-mails, nós estamos suspeitando de algum computador infectado ou dentro
da rede do cliente , outra coisa, mais esta complicado identificar o que pode estar
acontecendo .

Vocês poderia por gentileza nos dar algumas opções ou até mesmo ver se
alguém já passou por esse problema ou se existe alguma falha de segurança no
Zimbra.

O servidor é o CentOS 6.2 com o serviço de e-mail, (Zimbra).

Obrigado pela compreensão, fico no aguardo,


Atenciosamente,
Edir Bonametti


  


2. Re: Servidores de e-mails [RESOLVIDO]

Daniel Lara Souza
danniel-lara

(usa Fedora)

Enviado em 11/01/2013 - 09:38h

eBonametti escreveu:

Bom dia Prezados,

Estou passando por um problema serio em um cliente aqui na empresa.

Seguinte, O servidor de e-mail que eles utilizam esta com um problema serio
de spawn, o ip do servidor já esta listado na blacklist e não esta nem mandando
mais e-mails, nós estamos suspeitando de algum computador infectado ou dentro
da rede do cliente , outra coisa, mais esta complicado identificar o que pode estar
acontecendo .

Vocês poderia por gentileza nos dar algumas opções ou até mesmo ver se
alguém já passou por esse problema ou se existe alguma falha de segurança no
Zimbra.

O servidor é o CentOS 6.2 com o serviço de e-mail, (Zimbra).

Obrigado pela compreensão, fico no aguardo,


Atenciosamente,
Edir Bonametti


só por curiosidade, o pessoal sua o outlook ?



3. Re: Servidores de e-mails [RESOLVIDO]

Wilson Nalin Paolini
wnp

(usa Debian)

Enviado em 11/01/2013 - 09:38h

Edir, eu passo por este mesmo problema e não é simples de ser sanado. Porém eu realizado alguns procedimentos e pelo menos consigo descobrir o usuário que teve o host infectado e tomar algumas medidas, como formatar a estação do usuário e alterar sua senha. Eu realiza estes procedimentos no Postfix, mas acredito que os comandos sejam os mesmo no Zimbra.

Em relação as blacklists, após conseguir controlar o envio de spam pelo servidor, a maioria das blacklistas remove seu IP automaticamente. Em algumas blacklists é necessário entrar em contato pelo site para removê-lo.

O primeiro passo é localizar uma das mensagens de spam na fila de e-mails do servidor. Rode o seguinte comando:

postqueue -p

Provavelmente aparecerão algumas mensagens, você consegue identificar o spam quando é enviado para um grande número de destinatários desconhecidos. Segue um exemplo de spam abaixo:

5AE71C1390 2001 Tue Jan 8 14:53:01 teste_spam@dominio.br
(host dominio.com.br[200.200.200.200] refused to talk to me: 554 Your e-mail server is black listed as SPAMMER. See link: Blocked
testes@dominio.com.br
teste2@dominio2.com.br
.
.
.
(vários destinatários)

Conseguindo identificar a mensagem de spam, é preciso identificar qual o usuário que está com o host infectado. Rode o seguinte comando:

postcat -q 5AE71C1390 (id da mensagem)

Com este comando, você conseguirá ler a mensagem e o cabeçalho. Pelo cabeçalho é possível identificar o usuário que se autenticou. Segue abaixo um trecho do cabeçalho:

Received: from 100.100.100.100 --> ( 100.100.100.100 - ESTE É O IP DE QUEM ESTA ENVIANDO SPAM, ELE PODE TER SIDO ALTERADO PELO MALWARE)
(SquirrelMail authenticated user teste_spam) --> (TESTE_SPAM - É O USUÁRIO QUE SE AUTENTICOU PARA ENVIAR O SPAM)
by webmail.teste.com.br with HTTP; --> (AQUI É POR ONDE O EMAIL FOI ENVIADO)
Thu, 10 Jan 2013 03:03:01 -0300 (BRT)
Message-ID: <49336.100.100.100.1001357797781.squirrel@webmail.dominio.com.br>
Date: Thu, 10 Jan 2013 03:03:01 -0300 (BRT)
Subject:
From: "Administrador de email" <teste_spam@dominio.com.br>
Reply-To: verdadeiro_spammer@ymail.com
User-Agent: SquirrelMail/1.4.9a
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-8859-1
X-Priority: 3 (Normal)
Importance: Normal

O usuário que se autenticou é o spammer. Espero que tenha ajudado.









4. [Servidores de e-mails]

Edir Arnaldo de Oliveira Bonametti
EddyBin

(usa CentOS)

Enviado em 11/01/2013 - 09:52h

Prezado Membro,

Ajudou sim , mais eu quando rodo os comandos ele não os encontra,

Se sabe me dizer se tem os comandos equivalentes par o zimbra ou quais são.?

Retorno do comando:

[root@mail ~]# postqueue -p
-bash: postqueue: comando não encontrado



5. Re: Servidores de e-mails [RESOLVIDO]

Wilson Nalin Paolini
wnp

(usa Debian)

Enviado em 11/01/2013 - 09:53h

Rode os comandos com o usuário zimbra.


6. [Servidores de e-mails]

Edir Arnaldo de Oliveira Bonametti
EddyBin

(usa CentOS)

Enviado em 11/01/2013 - 09:55h

Nosso servidor usa o Postfix também.




7. [Servidores de e-mails]

Edir Arnaldo de Oliveira Bonametti
EddyBin

(usa CentOS)

Enviado em 11/01/2013 - 10:25h

Prezado ,

Tive o seguinte problema, vou postar aqui,

Quando eu rodo o comando..:

postqueue -p

Eu acho que esse aqui pode ser um exemplo
Este e-mail não tem nada a ver com o desse nosso cliente.

Retorno:

35A2A18076A1 6120 Fri Jan 11 09:57:59 MAILER-DAEMON
(delivery temporarily suspended: host mta6.am0.yahoodns.net[66.196.118.35] refused to talk to me: 421 4.7.1 [TS03] All messages from 200.232.120.86 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html)
dlaate@yahoo.com

Então quando rodei o postcat -q e o id 35A2A18076A1.

Retornou o seguinte.

postcat -q 35A2A18076A1
postcat: fatal: open queue file 35A2A18076A1: Permission denied

Então pense em rodar ele como root direto no diretório do postcat.

/opt/zimbra/postfix/sbin/postcat


*** ENVELOPE RECORDS deferred/3/35A2A18076A1 ***
message_size: 6120 584 1 0 6120
message_arrival_time: Fri Jan 11 09:57:59 2013
create_time: Fri Jan 11 09:57:59 2013
named_attribute: rewrite_context=local
sender:
named_attribute: encoding=7bit
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=46678
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=localhost
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=46678
named_attribute: helo_name=localhost
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;engefort@engefort.com.br
original_recipient: dlaate@yahoo.com
recipient: dlaate@yahoo.com
*** MESSAGE CONTENTS deferred/3/35A2A18076A1 ***
Received: from localhost (localhost [127.0.0.1])
by mail.engefort.com.br (Postfix) with ESMTP id 35A2A18076A1
for <dlaate@yahoo.com>; Fri, 11 Jan 2013 09:57:59 -0200 (BRST)
X-Virus-Scanned: amavisd-new at engefort.com.br
Received: from mail.engefort.com.br ([127.0.0.1])
by localhost (mail.engefort.com.br [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id IGvGyrz3qejL; Fri, 11 Jan 2013 09:57:56 -0200 (BRST)
Received: from engine.ieee.org (itmspav02.ieee.org [140.98.193.23])
by mail.engefort.com.br (Postfix) with ESMTPS id 5C5061806A4D
for <engefort@engefort.com.br>; Fri, 11 Jan 2013 09:57:56 -0200 (BRST)
Received: from localhost (localhost)
by engine.ieee.org (8.13.8/8.13.8/) id r0B6jAXX006015;
Fri, 11 Jan 2013 06:57:53 -0500
Date: Fri, 11 Jan 2013 06:57:53 -0500
From: Mail Delivery Subsystem <MAILER-DAEMON@engine.ieee.org>
Message-Id: <201301111157.r0B6jAXX006015@engine.ieee.org>
To: <engefort@engefort.com.br>
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="r0B6jAXX006015.1357905473/engine.ieee.org"
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)

This is a MIME-encapsulated message

--r0B6jAXX006015.1357905473/engine.ieee.org

The original message was received at Tue, 8 Jan 2013 12:15:15 -0500
from gemini1.ieee.org [140.98.193.237]

----- The following addresses had permanent fatal errors -----
ccece05@engr.usask.ca
(expanded from: <ccece05@ieee.org>)

----- Transcript of session follows -----
ccece05@engr.usask.ca... Deferred: spencer.usask.ca.: No route to host
Message could not be delivered for 2 days
Message will be deleted from queue

--r0B6jAXX006015.1357905473/engine.ieee.org
Content-Type: message/delivery-status

Reporting-MTA: dns; engine.ieee.org
Arrival-Date: Tue, 8 Jan 2013 12:15:15 -0500

Original-Recipient: rfc822;ccece05@ieee.org
Final-Recipient: RFC822; ccece05@ieee.org
X-Actual-Recipient: RFC822; ccece05@spencer.usask.ca
Action: failed
Status: 4.4.7
Remote-MTA: DNS; spencer.usask.ca
Last-Attempt-Date: Fri, 11 Jan 2013 06:57:52 -0500

--r0B6jAXX006015.1357905473/engine.ieee.org
Content-Type: message/rfc822

Return-Path: <engefort@engefort.com.br>
Received: from gemini1.ieee.org (gemini1.ieee.org [140.98.193.237])
by engine.ieee.org (8.13.8/8.13.8/) with ESMTP id r08HFFUh023451
for <ccece05@ieee.org>; Tue, 8 Jan 2013 12:15:15 -0500
Received: from gemini1.ieee.org (gemini1.ieee.org [127.0.0.1])
by postfix.imss70 (Postfix) with ESMTP id 064685FA35
for <ccece05@ieee.org>; Tue, 8 Jan 2013 12:15:20 -0500 (EST)
Received: from hormel5.ieee.org (hormel5.ieee.org [140.98.193.228])
by gemini1.ieee.org (Postfix) with ESMTP id D6A1C5FA36
for <ccece05@ieee.org>; Tue, 8 Jan 2013 12:15:19 -0500 (EST)
Received: from hormel5.ieee.org (localhost.localdomain [127.0.0.1])
by hormel5.ieee.org (8.13.8/8.13.8/Debian-3+etch1) with ESMTP id r08HEqxc001299
for <ccece05@ieee.org>; Tue, 8 Jan 2013 12:15:11 -0500
Received: (from defang@localhost)
by hormel5.ieee.org (8.13.8/8.13.8/Submit) id r08HEo5Z001241
for ccece05@ieee.org; Tue, 8 Jan 2013 12:14:50 -0500
Received: from psmtp.com (na3sys009amx236.postini.com [74.125.149.120])
by hormel5.ieee.org (envelope-sender <engefort@engefort.com.br>) (CanIt-PRO/Pre-stream) with ESMTP id r08HEhn1001132; Tue, 8 Jan 2013 12:14:47 -0500
Received: from mail.engefort.com.br ([200.232.120.86]) by na3sys009amx236.postini.com ([74.125.148.10]) with SMTP;
Tue, 08 Jan 2013 12:14:46 EST
Received: from localhost (localhost [127.0.0.1])
by mail.engefort.com.br (Postfix) with ESMTP id 4B108180AEC9;
Tue, 8 Jan 2013 14:24:57 -0200 (BRST)
X-Virus-Scanned: amavisd-new at engefort.com.br
Received: from mail.engefort.com.br ([127.0.0.1])
by localhost (mail.engefort.com.br [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id sIqQuUFtEQ6G; Tue, 8 Jan 2013 14:24:56 -0200 (BRST)
Received: from mail.engefort.com.br (localhost [127.0.0.1])
by mail.engefort.com.br (Postfix) with ESMTP id C4FBA180AE92;
Tue, 8 Jan 2013 14:24:48 -0200 (BRST)
Date: Tue, 8 Jan 2013 14:24:48 -0200 (BRST)
From: Erick Lartey <engefort@engefort.com.br>
Reply-To: Erick Lartey <erick.lartey1@yahoo.com.hk>
Message-ID: <441248292.41050.1357662288784.JavaMail.root@mail.engefort.com.br>
Subject: RE: Capital Investment.
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 7bit
X-Originating-IP: [41.215.160.153]
X-Mailer: Zimbra 7.1.4_GA_2555 (ZimbraWebClient - GC23 (Win)/7.1.4_GA_2555)
To: undisclosed-recipients:;
X-pstn-neptune: 0/0/0.00/0
X-pstn-levels: (S: 0.02140/98.20448 CV:99.9000 FC:95.5390 LC:93.6803 R:95.9108 P:95.9108 M:97.0282 C:98.6951 )
X-pstn-dkim: 0 skipped:not-enabled
X-pstn-status: off
X-Bayes-Prob: 0.5 (Score 0, tokens from: )
X-Spam-Score: 6.30 (******) [Hold at 8.00] FREEMAIL_FORGED_REPLYTO,FREEMAIL_REPLYTO,FREEMAIL_REPLYTO_END_DIGIT,SPF(none:0)
X-CanIt-Geo: ip=200.232.120.86; country=BR; region=27; city=Sao Paulo; latitude=-23.4733; longitude=-46.6658; http://maps.google.com/maps?q=-23.4733,-46.6658&z=6
X-CanItPRO-Stream: 05282892 (inherits from 80_DEFAULT,default)
X-Canit-Stats-ID: Bayes signature not available
X-Scanned-By: IEEE Spam Scanner (https://uce.ieee.org/) on 140.98.193.228



Date: 08/01/2013

RE: Capital Investment and Management Placement.

Hello,

I write as the subject matter applies :

We are currently seeking means of expanding and relocating business interest in the following sectors: Real Estate, Mining, Transportation, Trading, Constructing and Agriculture etc.

I am a financial adviser to a prominent investor who will like to invest in your country by proxy. If you have a good project plan that requires funding or looking forward to expansion of existing business, then get back to me with your ideas for consideration.

I will be looking forward to possible business collaboration.

Regards,

Mr. Erick Lartey.
E-mail: erick.lartey@yahoo.com.hk


--r0B6jAXX006015.1357905473/engine.ieee.org--

*** HEADER EXTRACTED deferred/3/35A2A18076A1 ***
named_attribute: encoding=7bit
*** MESSAGE FILE END deferred/3/35A2A18076A1 ***

Desculpe o longo texto é que não queria deixar passar nenhuma informação para
que assim vocês consigam me ajudar.

Será que é esse .?

Obrigado pela compreensão prezados amigos.


Atenciosamente,
Edir Bonametti



8. [Servidores de e-mails]

Edir Arnaldo de Oliveira Bonametti
EddyBin

(usa CentOS)

Enviado em 11/01/2013 - 10:36h

Aqui no cabeçalho tem varios Receivid

*** MESSAGE CONTENTS deferred/3/35A2A18076A1 ***
Received: from localhost (localhost [127.0.0.1])
by mail.engefort.com.br (Postfix) with ESMTP id 35A2A18076A1
for <dlaate@yahoo.com>; Fri, 11 Jan 2013 09:57:59 -0200 (BRST)
X-Virus-Scanned: amavisd-new at engefort.com.br
Received: from mail.engefort.com.br ([127.0.0.1])
by localhost (mail.engefort.com.br [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id IGvGyrz3qejL; Fri, 11 Jan 2013 09:57:56 -0200 (BRST)
Received: from engine.ieee.org (itmspav02.ieee.org [140.98.193.23])
by mail.engefort.com.br (Postfix) with ESMTPS id 5C5061806A4D
for <engefort@engefort.com.br>; Fri, 11 Jan 2013 09:57:56 -0200 (BRST)
Received: from localhost (localhost)
by engine.ieee.org (8.13.8/8.13.8/) id r0B6jAXX006015;
Fri, 11 Jan 2013 06:57:53 -0500


Tem varios froms


9. [servidores de e-mails]

Edir Arnaldo de Oliveira Bonametti
EddyBin

(usa CentOS)

Enviado em 11/01/2013 - 10:46h

*** MESSAGE CONTENTS deferred/2/290311808358 ***
Received: from localhost (localhost [127.0.0.1])
by mail.engefort.com.br (Postfix) with ESMTP id 290311808358
for <dlaate@yahoo.com>; Fri, 11 Jan 2013 10:05:09 -0200 (BRST)
X-Virus-Scanned: amavisd-new at engefort.com.br
Received: from mail.engefort.com.br ([127.0.0.1])
by localhost (mail.engefort.com.br [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id Ay3ThvXPVoX6; Fri, 11 Jan 2013 10:05:08 -0200 (BRST)
Received: from hm638-2.locaweb.com.br (hm638-2.locaweb.com.br [200.234.214.57])
by mail.engefort.com.br (Postfix) with ESMTP id 3BFC51807777
for <engefort@engefort.com.br>; Fri, 11 Jan 2013 10:05:08 -0200 (BRST)
Received: from saascloud0045.locaweb.com.br (186.202.48.81) by hm638.locaweb.com.br id htvvv815crsk for <engefort@engefort.com.br>; Fri, 11 Jan 2013 10:05:08 -0200 (envelope-from <mkt.bettersolutions.com.br@emailmrkt.bettersolutions.com.br>)
Date: Fri, 11 Jan 2013 10:05:08 -0200
To: engefort@engefort.com.br
From: "[Better Solutions]" <comercial@bettersolutions.com.br>
Reply-to: "[Better Solutions]" <comercial@bettersolutions.com.br>
Subject: =?ISO-8859-1?Q?Mega_Sald=E3o_de_Rel=F3gios_de_Ponto?=
Message-ID: <1c8a99b791d8332effb0a6be5dd6fee4@localhost.localdomain>
List-Unsubscribe: <http://mkt.bettersolutions.com.br/admin/sair.php?id=146486|66|0&uid=135223446287183200&acao=gravar>
X-List-Unsubscribe: <http://mkt.bettersolutions.com.br/admin/sair.php?id=146486|66|0&uid=135223446287183200&acao=gravar>
X-Unsubscribe-Web: <http://mkt.bettersolutions.com.br/admin/sair.php?id=146486|66|0&uid=135223446287183200&acao=gravar>
X-MessageID: 146486
X-ListMember: engefort@engefort.com.br
Precedence: bulk
X-LocaWeb-COR: locaweb_2009_x-mail
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="ISO-8859-1"

Bom dia,

Gostar&#65533;amos de informar que estamos realizando um Mega Sald&#65533;o de Rel&#65533;gios
de Ponto Informatizados e Cartogr&#65533;ficos.

REP (Registrador Eletr&#65533;nico de Ponto) com leitor biom&#65533;trico + leitor de
cart&#65533;o de proximidade homologado pelo Minist&#65533;rio do Trabalho e de acordo
com a portaria 1510/2009 por apenas 3 parcelas de R$799,00.

Rel&#65533;gio de Ponto Cartogr&#65533;fico por apenas 3 parcelas de R$299,00. Incluso 50
cart&#65533;es de ponto.

Entre em contato conosco e solicite maiores informa&#65533;&#65533;es.
Caso prefira, compre em nossa loja virtual (loja.bettersolutions.com.br).

Atenciosamente,

Equipe Comercial
Better Solutions LTDA
Telefone: (011) 4185-7516



Se voc&#65533; n&#65533;o deseja mais receber nossos e-mails, cancele sua inscri&#65533;&#65533;o
atrav&#65533;s do link
http://mkt.bettersolutions.com.br/admin/sair.php?id=146486|66|0&uid=135223446287183200


*** HEADER EXTRACTED deferred/2/290311808358 ***
named_attribute: encoding=8bit
*** MESSAGE FILE END deferred/2/290311808358 ***

Prezado consegui identificar outro e-mails de spawns no entanto não mostra o
usuário que se autenticou como você nos informou no procedimento.

(SquirrelMail authenticated user teste_spam) --> (TESTE_SPAM - É O USUÁRIO QUE SE AUTENTICOU PARA ENVIAR O SPAM)






10. Re: Servidores de e-mails [RESOLVIDO]

Wilson Nalin Paolini
wnp

(usa Debian)

Enviado em 11/01/2013 - 10:47h

Cara é essa ai mesmo, da pra identificar pelo texto. Segue parte do cabeçalho abaixo:

Received: from mail.engefort.com.br (localhost [127.0.0.1])
by mail.engefort.com.br (Postfix) with ESMTP id C4FBA180AE92; -----> (HOST POR ONDE ESTÃO SAINDO OS E-MAILS)
Tue, 8 Jan 2013 14:24:48 -0200 (BRST)
Date: Tue, 8 Jan 2013 14:24:48 -0200 (BRST)
From: Erick Lartey <engefort@engefort.com.br> ------> (USUÁRIO QUE ESTÁ COM A SENHA COMPROMETIDA ENGEFORT)
Reply-To: Erick Lartey <erick.lartey1@yahoo.com.hk> -------> (SPAMMER)
Message-ID: <441248292.41050.1357662288784.JavaMail.root@mail.engefort.com.br>
Subject: RE: Capital Investment.
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 7bit
X-Originating-IP: [41.215.160.153]
X-Mailer: Zimbra 7.1.4_GA_2555 (ZimbraWebClient - GC23 (Win)/7.1.4_GA_2555)

Altere a senha do usuário engefort@engefort.com.br para uma senha forte.

Em seguida apague essas mensagens com o comando abaixo. Este comando irá apagar todas as mensagens que retornaram e estão na fila com algum erro.

postqueue -p | grep MAILER-DAEMON -B2 | grep Jan | awk {'print $1'} | postsuper -d -


11. Re: Servidores de e-mails [RESOLVIDO]

Wilson Nalin Paolini
wnp

(usa Debian)

Enviado em 11/01/2013 - 10:49h

Só ressaltando, a mensagem de spam é a que tem o texto abaixo:

Hello,

I write as the subject matter applies :

We are currently seeking means of expanding and relocating business interest in the following sectors: Real Estate, Mining, Transportation, Trading, Constructing and Agriculture etc.

I am a financial adviser to a prominent investor who will like to invest in your country by proxy. If you have a good project plan that requires funding or looking forward to expansion of existing business, then get back to me with your ideas for consideration.

I will be looking forward to possible business collaboration.

Regards,

Mr. Erick Lartey.
E-mail: erick.lartey@yahoo.com.hk


12. [Servidores de e-mails]

Edir Arnaldo de Oliveira Bonametti
EddyBin

(usa CentOS)

Enviado em 11/01/2013 - 10:56h

Sim o pessoal la usa outloook



01 02 03



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts