Problemas com SPAM

edison_filho
(usa Debian)

Enviado em 15/09/2010 - 11:40h

Olá pessoal, estou com um problema aqui na minha rede. Meu IP Fixo está em 4 BlackLists, e é muito provável que é porque devo ter algumas máquinas infectadas aqui na rede.

Comecei a analisar o /var/log/mail/info.log e achei algumas coisas estranhas...

Sep 12 04:02:46 intranet postfix/qmgr[3959]: 5E5B5C2024: from=<info@fedex.com>, size=2578, nrcpt=99 (queue active)
Sep 12 04:02:46 intranet postfix/smtp[6628]: 8F19EC276B: host gateway-f1.isp.att.net[204.127.217.16] refused to talk to me: 550-189.26.118.26 blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks

Agora a questão é... como consigo descobrir com base nisso de que máquina saiu o e-mail info@fedex.com

vmmello
(usa Slackware)

Enviado em 17/09/2010 - 20:26h

Edison,

Dá um grep no arquivo procurando pelo identificador da linha do qmgr: 5E5B5C2024

Por exemplo:

# grep 5E5B5C2024 /var/log/mail/info.log

Deve aparecer alguma linha do smtpd, tipo:

Sep 16 16:56:29 mail postfix/smtpd[19756]: 5E5B5C2024: client=unknown[192.168.1.10] <--

(ali em cima, entre colchetes o IP do cliente)