Servidor enviando emails com usuários inexistentes. [RESOLVIDO]

Bom dia pessoal.

Estou tendo problemas com meu servidor de emails, de um tempo pra cá ele começou a enviar emails com usuários estranhos tipo shajsk@meudominio.com.br.
Subentende-se que meu servidor está enviando spams para domínios externos. Alguém já passou por problema parecido? Poderiam me dar algumas dicas de como sanar essa falha?

auditoria no seu servidor
é a minha dica

Passei por isso ontem, o que acontece é que alguma maquina sua foi infectada e ao enviar emails em massa o virus faz tipo um mascaramento do remetente colocando um email que não existe, pelo menos isso que aconteceu comigo. Como temos uma ferramenta de auditoria de email conseguimos identificar o remetente e bloquealo.

Isto é uma falha do protocolo SMTP, você pode autenticar com um usuário1 e enviar email como sendo outra usuário2 do domínio.

Exemplo:
Você tem o email Leandro@seudominio.com.br senha 123, então você configura o outlook com sendo estefanio@seudominio.com.br, e usa o usuário Leandro@seudominio.com.br e senha 123, ele vai enviar as mensagem como sendo estefanio@seudominio.com.br.

Solução, veja no log qual usuário ele esta usando para autenticar e troque a senha

Veja toda mensagem tem um numero que a identifica

Quando autentica: "879BC1243E6"

Sep 24 10:35:59 ns1 postfix/smtpd[26673]: connect from unknown[192.168.0.1]
Sep 24 10:35:59 ns1 postfix/smtpd[26673]: 879BC1243E6: client=unknown[192.168.0.1], sasl_method=LOGIN, sasl_username=suporte@sangiovanne.com.br
Sep 24 10:35:59 ns1 postfix/cleanup[23677]: 879BC1243E6: message-id=<005701ceb92a$97fe8d50$c7fba7f0$@sangiovanne.com.br>
Sep 24 10:35:59 ns1 postfix/qmgr[28482]: 879BC1243E6: from=<suporte@sangiovanne.com.br>, size=5849, nrcpt=1 (queue active)
Sep 24 10:36:02 ns1 postfix/smtpd[26673]: disconnect from unknown[192.168.0.1]

Quando entrega "879BC1243E6"

Sep 24 10:36:06 ns1 amavis[26272]: (26272-03) Passed CLEAN {RelayedOutbound}, MYNETS LOCAL [192.168.0.1]:54760 [192.168.0.1] <suporte@sangiovanne.com.br> -> <reinaldo@gmail.com>, Queue-ID: 879BC1243E6, Message-ID: <005701ceb92a$97fe8d50$c7fba7f0$@sangiovanne.com.br>, mail_id: kHypipBCiFEW, Hits: -0.999, size: 5850, queued_as: A02171243EA, 7093 ms
Sep 24 10:36:06 ns1 postfix/smtp[26887]: 879BC1243E6: to=<reinaldo@gmail.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.1, delays=0.03/0/0.01/7.1, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10026): 250 2.0.0 Ok: queued as A02171243EA)
Sep 24 10:36:06 ns1 postfix/qmgr[28482]: 879BC1243E6: removed

Sugiro fortemente, você criar uma politica de senha, mais rigorosa. Use senha mais fortes tipo Leandro@259!

Um servidor bem configurado, consegue também evitar que robôs envie email, no caso de você ter algum vírus na rede interna.

Vc precisa verificar que a configuração de redes confiáveis ( como permit_mynetowks e outros do genero ) e configuração de autenticação.

Isso já deve barrar esse tipo de problema.

Verificar tmb se tem alguma máquina dentro da sua rede com virus/spyware instalado. Vc consegue identificar olhando o cabeçalho dos e-mails ou vendo o tráfego na sua rede;

Prezados primeiramente obrigado a todos pela ajuda! Segue meu log, vejo o endereço do usuário que envia o spam mas não consigo encontrar que maquina pode ter sido infectada. Alguém pode ajudar?



Sep 24 11:28:27 mail amavis[10191]: (10191-15-10) Blocked SPAM, [198.24.174.167] [198.24.174.167] <pqhgzks@mcq.com.br> -> <akeem@acampar.com.br>,<akeem@almix.com.br>,<akeem@ar-net.com.br>,<akeem@arconet.com.br>,<akeem@armprsc.com.br>,<akeem@arnet.com.br>,<akeem@b.com.br>,<akeem@bluenet.com.br>,<ake@wnet.com.br>,<ake@worldline.com.br>, quarantine: n/spam-nx7geSf3oHGh.gz, mail_id: nx7geSf3oHGh, Hits: 14.057, size: 4580, 128 ms
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<akeem@acampar.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<akeem@almix.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<akeem@ar-net.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<akeem@arconet.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<akeem@armprsc.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<akeem@arnet.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<akeem@b.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<akeem@bluenet.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<ake@wnet.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/smtp[10241]: DD1DD37587: to=<ake@worldline.com.br>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=10, delay=2, delays=1.8/0.05/0/0.13, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=10191-15-10, DISCARD(bounce.suppressed))
Sep 24 11:28:27 mail postfix/qmgr[7277]: DD1DD37587: removed

cat /var/log/maillog |grep DD1DD37587

Se você não vê ele fazendo login, você deve esta com o relay aberto!

Estefaniobrunha, obrigado pela ajuda.

Segue o log conforme o comando que me passou:

Sep 25 17:24:23 mail postfix/smtpd[30496]: 6F94536A60: client=localhost[127.0.0.1]
Sep 25 17:24:23 mail postfix/cleanup[30471]: 6F94536A60: message-id=<>
Sep 25 17:24:23 mail postfix/qmgr[30421]: 6F94536A60: from=<72sn@mcq.com.br>, size=3269, nrcpt=10 (queue active)
Sep 25 17:24:23 mail amavis[30512]: (30512-02) Passed CLEAN, [198.24.174.166] [198.24.174.166] <72sn@mcq.com.br> -> <15010201rerp2005@itelefonica.com.br>,<15010201resamanda@itelefonica.com.br>,<15010201resende19@itelefonica.com.br>,<15010201resgistro05@itelefonica.com.br>,<15010201resparvoli@itelefonica.com.br>,<15010201revao@itelefonica.com.br>,<15010201reynaldo.gn@itelefonica.com.br>,<15010201rfabarros@itelefonica.com.br>,<15010201rfafer@itelefonica.com.br>,<15010201rfantoni@itelefonica.com.br>, mail_id: RcxFwyZT0nHe, Hits: 4.887, size: 2877, queued_as: 6F94536A60, 156 ms

Como disse pode ser um problema de relay aberto, ja que não consigo ver o usuario logado. Tem alguma dica para solução? Fechando o relay ainda consigo enviar emails para dominios externos?
Obrigado mais uma vez.

Faça um teste de relay

http://checkor.com/
http://www.abuse.net/relay.html
http://www.antispam-ufrj.pads.ufrj.br/test-relay.html

O último log que vc postou é do amavisd. Ele deve estar disponibilizando os spams no diretório que vc configurou para ele descarregar esses tipo de arquivo.

Pegue um desses arquivos e dá um cat nele para verificar o conteúdo, lá vc deve enxergar o cabeçalho.

Para melhorar a segurança do seu servidor olhe esse documento:

http://www.postfix.org/SMTPD_ACCESS_README.html

estefaniobrunha, foxbit3r obrigado pela atenção!

Depois de testes nos endereços que o Estefanio indicou, tudo me leva a crer que meu servidor está com o relay aberto. Segue meu main.cf caso alguem possa ajudar:

#---------------------------------MAIN-----------------------------------------
smtpd_banner = $myhostname ESMTP
biff = no
append_dot_mydomain = no
readme_directory = no
alias_maps = hash:/etc/postfix/aliases
alias_database = hash:/etc/postfix/aliases
myhostname = mail.meudominio.com.br
mydomain = meudominio.com.br
myorigin = $myhostname
mydestination = $myhostname, localhost
relayhost =
mynetworks = 127.0.0.0/8, 192.168.1.0/24
relay_domains = $mydestination
home_mailbox = Maildir/
mailbox_command = /usr/bin/procmail -a "$EXTENSION" DEFAULT=$HOME/Maildir/ MAILDIR=$HOME/Maildir/
mailbox_size_limit = 0
message_size_limit = 20971520
recipient_delimiter = 0
mynetworks_style = subnet
inet_interfaces = all
default_transport = smtp
smtpd_recipient_limit = 1000
bounce_queue_lifetime = 300s
maximal_queue_lifetime = 300s
#-----------------------------END MAIN-----------------------------------------
#-----------------------------SASL---------------------------------------------
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = $mydomain
#----------------------------END SASL------------------------------------------
#-------------------------------TLS--------------------------------------------
smtp_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtp_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtp_tls_key_file = /etc/postfix/ssl/smtpd.key
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_tls_session_cache
smtp_tls_security_level = may
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_security_level = may
smtpd_tls_received_header = yes
smtpd_tls_ask_ccert = yes
smtpd_tls_loglevel = 1
tls_random_source = dev:/dev/urandom
smtpd_enforce_tls = yes
#-----------------------------END TLS--------------------------------------------
#--------------------------------MYSQL-------------------------------------------
transport_maps = proxy:mysql:/etc/postfix/mysql_transport_maps.cf
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_transport = virtual
virtual_minimum_uid = 107
virtual_uid_maps = static:107
virtual_gid_maps = static:107
virtual_mailbox_base = /home/vmail
#-----------------------------END MYSQL-------------------------------------------
#-----------------------------QUOTA-----------------------------------------------
virtual_mailbox_limit = 51200000
virtual_mailbox_limit = 0
virtual_maildir_extended = yes
virtual_mailbox_limit_override = yes
virtual_mailbox_limit_maps = mysql:/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
virtual_overquota_bounce = yes
virtual_maildir_limit_message = Desculpe o usuario atingiu o limite maximo da caixa de entrada de emails! Por favor, tente mais tarde.
#----------------------------END QUOTA-------------------------------------------
#----------------------------CONTROLS--------------------------------------------
content_filter = smtp-amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings
smtpd_helo_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
permit hash:/etc/postfix/rbl_override,
check_client_access hash:/etc/postfix/rbl_override,
reject_invalid_hostname,
reject_unknown_hostname,
reject_non_fqdn_hostname,
reject_unauth_pipelining

smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
permit hash:/etc/postfix/rbl_override,
check_client_access hash:/etc/postfix/rbl_override,
reject_unauth_pipelining,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client rbl.schulte.org,
reject_rbl_client dnsbl.anticaptcha.net,
reject_rbl_client bl.spamcannibal.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client cart00ney.surriel.com,
reject_rbl_client korea.services.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client sakura.ne.jp,
reject_rbl_client empresarioapartirdecasa.com,
reject_unknown_client


smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
permit hash:/etc/postfix/rbl_override,
check_client_access hash:/etc/postfix/rbl_override,
check_policy_service unix:private/policy,
reject_non_fqdn_sender,
reject_unauth_pipelining,
reject_unknown_sender_domain,
reject_rbl_client sakura.ne.jp,
reject_rbl_client empresarioapartirdecasa.com,
reject_rbl_client 198.24.175.4,
reject_rbl_client 198.24.0.0,

smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
permit hash:/etc/postfix/rbl_override,
check_client_access hash:/etc/postfix/rbl_override,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unauth_pipelining,
reject_rbl_client sakura.ne.jp,
reject_rbl_client empresarioapartirdecasa.com,
reject_unknown_recipient_domain,
check_policy_service inet:127.0.0.1:60000,
reject_unknown_client,
#------------------------END CONTROLS-------------------------------------------

Eu não gosto de usar opção mynetworks com minha rede lan

mynetworks = 127.0.0.0/8, 192.168.1.0/24

prefiro assim:

mynetworks = 127.0.0.0/8

Porque? Se tive um vírus na minha rede ele pode enviar email sem autenticar.