SPAM usando email de outro

camun
(usa Ubuntu)

Enviado em 14/08/2013 - 08:10h

Fala Gente bom dia a todos!!!!

Seguinte to com um problema em meu servidor de email(Ubuntu rodando Dovecote,postfix,amavis-new,spamassasin) abaixo postei o log do que está ocorrendo, está sempre acontecendo isso usuarios SPAM se conectam em meu servidor e enviam emails de um funcionario para ele mesmo com algo em anexo, ou seja, a propria pessoa mandando email para ela mesma, sendo que foi esse Spam, no exemplo abaixo ta um tal de brunosanches.com.br fazendo isso que eu falei, alguem sabe alguma saida? nao sei mais o q fazer isso acontece mto.

Substituir o nome do email para usuariodaempresa@meudominio.com.br


Aug 14 05:40:48 mail postfix/smtpd[1468]: connect from 186-84-162-69.brunosanches.com.br[69.162.84.186]
Aug 14 05:40:48 mail postfix/smtpd[1468]: setting up TLS connection from 186-84-162-69.brunosanches.com.br[69.162.84.186]
Aug 14 05:40:48 mail postfix/smtpd[1468]: 186-84-162-69.brunosanches.com.br[69.162.84.186]: TLS cipher list "ALL:+RC4:@STRENGTH"
Aug 14 05:40:48 mail postfix/smtpd[1468]: SSL_accept:before/accept initialization
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 read client hello B
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write server hello A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write certificate A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write key exchange A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write server done A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 flush data
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 read client key exchange A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 read finished A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write change cipher spec A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write finished A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 flush data
Aug 14 05:40:49 mail postfix/smtpd[1468]: 186-84-162-69.brunosanches.com.br[69.162.84.186]: save session 0748B03939E4210C273EC11547EE5310857597A038AB7B68F543A5DC42B8A0FC&s=smtp to smtpd cache
Aug 14 05:40:49 mail postfix/tlsmgr[19950]: put smtpd session id=0748B03939E4210C273EC11547EE5310857597A038AB7B68F543A5DC42B8A0FC&s=smtp [data 127 bytes]
Aug 14 05:40:49 mail postfix/tlsmgr[19950]: write smtpd TLS cache entry 0748B03939E4210C273EC11547EE5310857597A038AB7B68F543A5DC42B8A0FC&s=smtp: time=1376469649 [data 127 bytes]
Aug 14 05:40:49 mail postfix/smtpd[1468]: Anonymous TLS connection established from 186-84-162-69.brunosanches.com.br[69.162.84.186]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Aug 14 05:40:50 mail postfix/smtpd[1468]: A9AFC78007D: client=186-84-162-69.brunosanches.com.br[69.162.84.186]
Aug 14 05:40:50 mail postfix/cleanup[1791]: A9AFC78007D: message-id=<201308140537507F2559E2EA$A6CF2653F2@FEEBB>
Aug 14 05:40:50 mail postfix/qmgr[19929]: A9AFC78007D: from=<usuariodaempresa@meudominio.com.br>, size=2988, nrcpt=1 (queue active)
Aug 14 05:40:50 mail postfix/smtpd[1794]: initializing the server-side TLS engine
Aug 14 05:40:50 mail postfix/smtpd[1794]: connect from localhost[127.0.0.1]
Aug 14 05:40:50 mail postfix/smtpd[1794]: F331578007E: client=localhost[127.0.0.1]
Aug 14 05:40:50 mail postfix/cleanup[1791]: F331578007E: message-id=<201308140537507F2559E2EA$A6CF2653F2@FEEBB>
Aug 14 05:40:51 mail postfix/smtpd[1794]: disconnect from localhost[127.0.0.1]
Aug 14 05:40:51 mail postfix/qmgr[19929]: F331578007E: from=<usuariodaempresa@meudominio.com.br>, size=3389, nrcpt=1 (queue active)
Aug 14 05:40:51 mail amavis[1514]: (01514-09) Passed CLEAN, [69.162.84.186] [173.255.189.59] <usuariodaempresa@meudominio.com.br> -> <usuariodaempresa@meudominio.com.br>, Message-ID: <201308140537507F2559E2EA$A6CF2653F2@FEEBB>, mail_id: 7e2R3SjxVpVh, Hits: -, size: 2988, queued_as: F331578007E, 117 ms
Aug 14 05:40:51 mail postfix/smtp[1792]: A9AFC78007D: to=<usuariodaempresa@meudominio.com.br>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.4, delays=1.3/0.01/0/0.12, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=01514-09, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as F331578007E)
Aug 14 05:40:51 mail postfix/qmgr[19929]: A9AFC78007D: removed
Aug 14 05:40:51 mail postfix/smtpd[1468]: disconnect from 186-84-162-69.brunosanches.com.br[69.162.84.186]
Aug 14 05:40:51 mail postfix/local[1795]: F331578007E: to=<usuariodaempresa@meudominio.com.br>, orig_to=<usuariodaempresa@meudominio.com.br>, relay=local, delay=0.26, delays=0.04/0/0/0.21, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")

jocajuni
(usa Debian)

Enviado em 14/08/2013 - 13:09h

Vc poderia me mostrar como esta as seguintes linhas do arquivo main.cf

mynetworks
e a linha
smtpd_recipient_restrictions


[]s
Jocajuni

camun
(usa Ubuntu)

Enviado em 15/08/2013 - 07:23h

aqui vai quase todo meu postfix, nao sei mais o que fazer esse spam brunosanches ta se conectando direto


myhostname = meudominio.com.br
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = dominio.com.br
relayhost =
mynetworks = 127.0.0.0/8 minharede/24
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
message_size_limit = 0

queue_run_delay = 30s
minimal_backoff_time = 900s
maximal_backoff_time = 3600s
maximal_queue_lifetime = 2h

recipient_delimiter = +
inet_interfaces = all
smtpd_sasl_local_domain = dominio.com.br
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes


smtpd_tls_auth_only = no
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem
smtpd_tls_loglevel = 2
smtp_connect_timeout = 10s
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
inet_protocols = ipv4
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtpd_helo_required = yes

#Alterações antisapm
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks, check_recipient_access regexp:/etc/postfix/sender-proibidos, reject_unauth_destination, reject_rbl_client bl.spamcop.net, reject_rbl_client cbl.abuseat.org
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unauth_pipelining, check_sender_access regexp:/etc/postfix/sender-proibidos
# tempo limite para identificacao do Helo
smtp_helo_timeout = 60s

# Bloquear apos o comando RCPT TO
smtpd_delay_reject = yes
# Numero Maximo de destinatario em uma mensagem
smtpd_recipient_limit = 100
# Caixa postal inexistente devolver erro 500 para nao processar varias vezes
unknown_local_recipient_reject_code = 500
# Rejeitar enderecos desconhecidos
unknown_address_reject_code = 554
# Rejeitar hostname desconhecidos
unknown_hostname_reject_code = 554
# Rejeitar clientes desconhecidos
unknown_client_reject_code = 554
#Conexoes remotas no servidor destino
smtp_destination_concurrency_limit = 7
# Maximo de Conexoes simultanaes em nosso servidor
smtp_destination_recipient_limit = 4
#numeros de erros 500 que podem ser cometidos, depois desconecta
smtpd_hard_error_limit = 2
# numero de erros 400 que podem ser cometidos, depois desconecta
smtpd_soft_error_limit = 2
# Numero de conexao que podem fazer por minuto
smtpd_client_connection_count_limit = 8
# Numero de mensagens enviadas por minuto
smtpd_client_message_rate_limit = 10
# Travar os spammers a cada erro por 30s
smtpd_error_sleep_time = 300s


# Enderecos envelopados com <>
strict_rfc821_envelopes = yes
smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unknown_client, check_client_access hash:/etc/postfix/ip-access
smtpd_helo_restrictions =check_helo_access regexp:/etc/postfix/helo-proibidos
mime_header_checks=regexp:/etc/postfix/anexos
body_checks = regexp:/etc/postfix/anexos
content_filter=smtp-amavis:[127.0.0.1]:10024
bounce_notice_recipient = postmaster@sotrel.com.br
2bounce_notice_recipient = postmaster@sotrel.com.br
delay_notice_recipient = postmaster@sotrel.com.br
error_notice_recipient = postmaster@sotrel.com.br

camun
(usa Ubuntu)

Enviado em 16/08/2013 - 07:21h

galera preciso muito de ajuda, nao paro de receber esses SPAM

camun
(usa Ubuntu)

Enviado em 16/08/2013 - 12:35h

alguem?

andrecanhadas
(usa Debian)

Enviado em 16/08/2013 - 13:05h

Cara seu servidor esta permitindo autenticar como anonimo veja:
Anonymous TLS connection established

Teste o IP de seu servidor e veja se te mostra algo relevante :
http://www.mxtoolbox.com/diagnostic.aspx
No mais pode bloquear via firewall ou blacklist o IP 69.162.84.186

camun
(usa Ubuntu)

Enviado em 16/08/2013 - 13:33h

entao passou em todos os testes no site que voce me informou. eu sei dessa conecção mas como eu bloqueio ja fiz de tudo no postfix como pode ver acima, esse é o problema.

andrecanhadas
(usa Debian)

Enviado em 16/08/2013 - 13:42h

Se não tiver um firewall coloque a linha dentro de /etc/rc.local antes do end:

iptables -I INPUT -s 69.162.84.186 -j DROP 

 

pronto ele não pode mais conectar em nenhuma porta

obs: rode a linha manualmente para efeito imediato ou reinicie o servidor

andrecanhadas
(usa Debian)

Enviado em 16/08/2013 - 13:47h

Ou pelo postfix veja o item 4.1:
http://www.unitednerds.org/thefallen/docs/?area=Postfix&tuto=Postfix-AntiSpam-1

camun
(usa Ubuntu)

Enviado em 16/08/2013 - 14:07h

Andre eu utilizo essas regras é so vc olhar meu postfix acima, e tambem tenho o FW porem nao queria ficar toda hora caçando esses Ips, mas pelo que vejo nao tem outra forma, pois, ninguem sabe como bloquer isso. ta brabo rs

andrecanhadas
(usa Debian)

Enviado em 16/08/2013 - 14:26h

Sim eu vi a regra mas de alguma forma parece que ela não esta funcionando um whois para este IP:

#

# ARIN WHOIS data and services are subject to the Terms of Use

# available at: https://www.arin.net/whois_tou.html

#





#

# The following results may also be obtained via:

# http://whois.arin.net/rest/nets;q=69.162.84.186?showDetails=true&showARIN=false&ext=netref2

#



NetRange:       69.162.64.0 - 69.162.127.255

CIDR:           69.162.64.0/18

OriginAS:       AS46475

NetName:        LSN-DLLSTX-2

NetHandle:      NET-69-162-64-0-1

Parent:         NET-69-0-0-0-0

NetType:        Direct Allocation

Comment:        http://www.limestonenetworks.com

RegDate:        2008-06-27

Updated:        2012-02-24

Ref:            http://whois.arin.net/rest/net/NET-69-162-64-0-1



OrgName:        Limestone Networks, Inc.

OrgId:          LIMES-2

Address:        400 S. Akard Street

Address:        Suite 200

City:           Dallas

StateProv:      TX

PostalCode:     75202

Country:        US

RegDate:        2007-12-04

Updated:        2010-01-26

Comment:        http://limestonenetworks.com/

Ref:            http://whois.arin.net/rest/org/LIMES-2



ReferralServer: rwhois://rwhois.limestonenetworks.com:4321



OrgTechHandle: NOC2791-ARIN

OrgTechName:   Network Operations Center

OrgTechPhone:  +1-214-586-0555 

OrgTechEmail:  noc@limestonenetworks.com

OrgTechRef:    http://whois.arin.net/rest/poc/NOC2791-ARIN



OrgAbuseHandle: ABUSE1804-ARIN

OrgAbuseName:   Abuse

OrgAbusePhone:  +1-214-242-3600 

OrgAbuseEmail:  abuse@limestonenetworks.com

OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE1804-ARIN



RAbuseHandle: ABUSE1804-ARIN

RAbuseName:   Abuse

RAbusePhone:  +1-214-242-3600 

RAbuseEmail:  abuse@limestonenetworks.com

RAbuseRef:    http://whois.arin.net/rest/poc/ABUSE1804-ARIN



RNOCHandle: NOC2791-ARIN

RNOCName:   Network Operations Center

RNOCPhone:  +1-214-586-0555 

RNOCEmail:  noc@limestonenetworks.com

RNOCRef:    http://whois.arin.net/rest/poc/NOC2791-ARIN



RTechHandle: NOC2791-ARIN

RTechName:   Network Operations Center

RTechPhone:  +1-214-586-0555 

RTechEmail:  noc@limestonenetworks.com

RTechRef:    http://whois.arin.net/rest/poc/NOC2791-ARIN





#

# ARIN WHOIS data and services are subject to the Terms of Use

# available at: https://www.arin.net/whois_tou.html

#







Uma referência para·rwhois.limestonenetworks.com:4321 encontrada.



%rwhois V-1.5:003fff:00 rwhois.limestonenetworks.com (by Network Solutions, Inc. V-1.5.9.5)

network:Class-Name:network

network:ID:LSN-BLK-69.162.64.0/18

network:Auth-Area:69.162.64.0/18

network:Network-Name:LSN-69.162.64.0/18

network:IP-Network:69.162.84.184/29

network:IP-Network-Block:69.162.84.184 - 69.162.84.191

network:Organization-Name:Bruno Sanches Belintani

network:Organization-City:Garça

network:Organization-State:OT

network:Organization-Zip:17400-000

network:Organization-Country:BR

network:Tech-Contact;I:abuse@limestonenetworks.com

network:Admin-Contact;I:abuse@limestonenetworks.com

network:Updated-By:admin@limestonenetworks.com



network:Class-Name:network

network:ID:LSN-BLK-69.162.64.0/18

network:Auth-Area:69.162.64.0/18

network:Network-Name:LSN-69.162.64.0/18

network:IP-Network:69.162.64.0/18

network:IP-Network-Block:69.162.64.0 - 69.162.127.255

network:Organization;I:Limestone Networks

network:Tech-Contact;I:ipadmin@limestonenetworks.com

network:Admin-Contact;I:admin@limestonenetworks.com

network:Created:20080129

network:Updated:20080129

network:Updated-By:admin@limestonenetworks.com



%referral rwhois://root.rwhois.net:4321/auth-area=.

%ok

 

pode criar a regra para 69.162.64.0/18 ou entrar em contato com o abuse :

network:Tech-Contact;I:abuse@limestonenetworks.com
network:Admin-Contact;I:abuse@limestonenetworks.com
network:Updated-By:admin@limestonenetworks.com

camun
(usa Ubuntu)

Enviado em 16/08/2013 - 15:29h

blz vou fazer isso rsrs o ruim é ter q ficar sempre monitorando, pois, esse foi so um exemplo.