virus

removido
(usa Nenhuma)

Enviado em 26/06/2014 - 16:24h

Um ip de fora do Brasil está conectando na minha rede e enviando e-mail em massa (VIRUS).

Porém só sei o IP, porque ele envia o e-mail como XYCJD@MEUDOMINIO.

Como faço para descobrir qual é a conta que está logando ? Para eu saber a máquina que está infectada e tem a senha do e-mail.

wnp
(usa Debian)

Enviado em 26/06/2014 - 16:34h

http://www.vivaolinux.com.br/topico/Postfix/Servidores-de-e-mails

removido
(usa Nenhuma)

Enviado em 26/06/2014 - 17:19h

é de fora que está chegando, quando desabilito a porta de fora pra dentro resolve.

Engraçado que desabilitei o relay de fora, e parei o serviço de autenticação mesmo assim um IP de fora conecta no servidor e envia...

o que pode ser ?

dimasdaros
(usa Arch Linux)

Enviado em 26/06/2014 - 17:22h

nos logs do serviço deve ter algo, chegou a verificar?

removido
(usa Nenhuma)

Enviado em 26/06/2014 - 17:26h

Jun 26 17:10:47 thermo postfix/smtpd[6814]: connect from unknown[198.143.128.136]
Jun 26 17:10:47 thermo postfix/smtpd[6811]: NOQUEUE: reject: RCPT from unknown[198.143.150.227]: 504 5.5.2 <198.143.150.227>: Helo command rejected: need fully-qualified hostname; from=<q07trq@thermo.com.br> to=<xifdiryq@kijxotim.pt> proto=SMTP helo=<198.143.150.227>


O relay está fechado, desabilitei a autenticacao mesmo assim o host conecta..

como ?

removido
(usa Nenhuma)

Enviado em 26/06/2014 - 18:10h

No site http://mxtoolbox.com/ o teste do relay fica amarelo e aparece "May be an open relay".

Porém a mesma configuração está anos e nunca aconteceu isso. Para vocês o teste do site http://mxtoolbox.com/diagnostic.aspx aparece em amarelo o primeiro teste ?