El servidor de correo (sendmail) envía correo no deseado a personas inocentes

5

Hice esta misma pregunta en serverfault pero me di cuenta de que no era el lugar correcto, me disculpo.

Background

SO del servidor: Ubuntu 10.04

Aplicación de correo: Sendmail

Hace poco pregunté sobre la retrodispersión en un servidor de correo con sendmail, Amazon notó que mi servidor está enviando correos no deseados a otros en forma de retrodispersión. Más tarde eliminé la capacidad de sendmail para recibir correos electrónicos entrantes al impedir que el demonio escuche en el puerto 25. La cola de mensajes aún está configurada para ejecutarse periódicamente. Entonces, después de eso, mi servidor solo puede enviar correos electrónicos al exterior, lo que evita la retrodispersión.

Malas noticias

Después de unos días recibí un informe de abuso de Amazon, que decía exactamente lo mismo (enviando spam). Inmediatamente reviso el registro de correo en mi servidor y encontré que mi demonio envió 3 correos electrónicos a 2 usuarios desafortunados en gmail.

¿Qué sigue?

Ya que estoy seguro de que mi servidor no puede recibir ningún correo electrónico entrante, creo que hay algunos scripts maliciosos en mi servidor haciendo cosas desagradables. Entonces, ¿cuáles son los pasos que puedo tomar para diagnosticar cualquiera de estos scripts malvados? ¿En qué registros puedo buscar más registros y cómo puedo localizar los scripts que enviaron estos correos electrónicos?

    
pregunta Xavier_Ex 22.08.2012 - 20:06
fuente

1 respuesta

2

Esto suena como que tiene relés de SMTP abiertos que deben configurarse. La máquina de retransmisión SMTP solo debe aceptar correo para retransmitir a los dominios que usted hospeda. Por ejemplo, si aloja el dominio maildomain.com, la retransmisión SMTP solo debe aceptar el correo para ese dominio y rechazar el correo para cualquier otro dominio. (Al menos, este debería ser el caso de las conexiones no autenticadas). La razón de esto es que si los servidores y clientes SMTP externos pueden enviar correo a otros dominios a través de su retransmisión SMTP, entonces esas máquinas podrán transmitir correo no deseado a través de su servidor SMTP. Desea rechazar el correo enviado a la retransmisión SMTP para los dominios que no hospeda.

Esta es una configuración crítica. He hablado con muchos de los administradores de ISA Server y de Exchange que se han colocado en RBL temidos porque no configuraron correctamente sus relés SMTP para evitar la retransmisión no autenticada. Si ha sido víctima de uno o más de estos RBL, sabe que también podría intentar salir ganador en una auditoría del IRS. Por este motivo, le recomiendo que no publique los retransmisiones SMTP en Internet hasta que tenga una buena comprensión de cómo configurar el relé para evitar que los spammers abusen de él.

El servicio IIS SMTP le permite crear dominios remotos y luego configurar esos dominios remotos para retransmitir el correo a un servidor en su red interna. El relé SMTP está configurado con dominios remotos para los dominios que usted hospeda y retransmite el correo a su servidor de Exchange u otro relé SMTP en su red interna. La configuración predeterminada del servidor SMTP de IIS y Exchange bloquea la retransmisión de correo al tiempo que permite la retransmisión del correo dirigido a los dominios remotos que configura.

    
respondido por el GT_Wrecked 24.08.2012 - 20:30
fuente

Lea otras preguntas en las etiquetas