Invasão

wnp
(usa Debian)

Enviado em 19/02/2013 - 11:01h

Geraldo, suspeito que algum usuário que usa outlook está com o pc infectado eviando spam pelo seu servidor. Dá para enviar e-mail de fora da sua rede pelo outlook? No seu main.cf, como está o parâmentro mynetworks?

geraldoquites
(usa Suse)

Enviado em 19/02/2013 - 11:02h

É, vou pensar nisso, com o IDS fica amais fácil de monitorar os intrusos..

observei um log de tentativa de envio, foi vc?

Feb 19 10:55:37 mail postfix/smtpd[32342]: NOQUEUE: reject: RCPT from mail.cidadaopg.sp.gov.br[201.91.155.19]: 554 5.7.1 <fddf@fdf.com>: Relay access denied; from=<asds@fdd.com> to=<fddf@fdf.com> proto=SMTP

geraldoquites
(usa Suse)

Enviado em 19/02/2013 - 11:12h

Paolini, ótimo que deu relay denied, significa que não poderá sair email não autenticado pela rede externa.

Temos usuários usando outlook pela rede externa, mas se não houver autenticação este email não sai, ok?

Pelo visto, o envio está sendo feito de dentro do servidor. mas não sei por onde, minha suspeita é pelo proxy do apache.

geraldoquites
(usa Suse)

Enviado em 19/02/2013 - 11:24h

No log fica muito claro que o email está saindo de dentro do meu servidor e não de acesso externo. observe:

log de saida de email com acesso externo:
client=outmail007.snc7.facebook.com[69.171.232.141]

O cliente neste caso é o facebook fazendo conexão no meu servidor para entregar ou enviar email.


log de saida de email com acesso interno:
client=localhost[127.0.0.1]

O cliente neste caso é o localhost, o mesmo usando para envio dos spams.

wnp
(usa Debian)

Enviado em 19/02/2013 - 11:29h

Realmente Geraldo, com o saslauth habilitado, os e-mails só podem ser enviados com autenticação. Porém no cabeçalho que vc postou não tinha nenhum usuário válido do seu domínio autenticado. Dei uma pesquisada sobre o problema estar relacionado com o apache, achei o link abaixo. Não tem muita coisa mas já da p ter uma idéia:

https://under-linux.org/showthread.php?t=46462