SPAM usando email de outro

1. SPAM usando email de outro

Felipe Leira
camun

(usa Ubuntu)

Enviado em 14/08/2013 - 08:10h

Fala Gente bom dia a todos!!!!

Seguinte to com um problema em meu servidor de email(Ubuntu rodando Dovecote,postfix,amavis-new,spamassasin) abaixo postei o log do que está ocorrendo, está sempre acontecendo isso usuarios SPAM se conectam em meu servidor e enviam emails de um funcionario para ele mesmo com algo em anexo, ou seja, a propria pessoa mandando email para ela mesma, sendo que foi esse Spam, no exemplo abaixo ta um tal de brunosanches.com.br fazendo isso que eu falei, alguem sabe alguma saida? nao sei mais o q fazer isso acontece mto.

Substituir o nome do email para usuariodaempresa@meudominio.com.br


Aug 14 05:40:48 mail postfix/smtpd[1468]: connect from 186-84-162-69.brunosanches.com.br[69.162.84.186]
Aug 14 05:40:48 mail postfix/smtpd[1468]: setting up TLS connection from 186-84-162-69.brunosanches.com.br[69.162.84.186]
Aug 14 05:40:48 mail postfix/smtpd[1468]: 186-84-162-69.brunosanches.com.br[69.162.84.186]: TLS cipher list "ALL:+RC4:@STRENGTH"
Aug 14 05:40:48 mail postfix/smtpd[1468]: SSL_accept:before/accept initialization
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 read client hello B
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write server hello A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write certificate A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write key exchange A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write server done A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 flush data
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 read client key exchange A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 read finished A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write change cipher spec A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 write finished A
Aug 14 05:40:49 mail postfix/smtpd[1468]: SSL_accept:SSLv3 flush data
Aug 14 05:40:49 mail postfix/smtpd[1468]: 186-84-162-69.brunosanches.com.br[69.162.84.186]: save session 0748B03939E4210C273EC11547EE5310857597A038AB7B68F543A5DC42B8A0FC&s=smtp to smtpd cache
Aug 14 05:40:49 mail postfix/tlsmgr[19950]: put smtpd session id=0748B03939E4210C273EC11547EE5310857597A038AB7B68F543A5DC42B8A0FC&s=smtp [data 127 bytes]
Aug 14 05:40:49 mail postfix/tlsmgr[19950]: write smtpd TLS cache entry 0748B03939E4210C273EC11547EE5310857597A038AB7B68F543A5DC42B8A0FC&s=smtp: time=1376469649 [data 127 bytes]
Aug 14 05:40:49 mail postfix/smtpd[1468]: Anonymous TLS connection established from 186-84-162-69.brunosanches.com.br[69.162.84.186]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Aug 14 05:40:50 mail postfix/smtpd[1468]: A9AFC78007D: client=186-84-162-69.brunosanches.com.br[69.162.84.186]
Aug 14 05:40:50 mail postfix/cleanup[1791]: A9AFC78007D: message-id=<201308140537507F2559E2EA$A6CF2653F2@FEEBB>
Aug 14 05:40:50 mail postfix/qmgr[19929]: A9AFC78007D: from=<usuariodaempresa@meudominio.com.br>, size=2988, nrcpt=1 (queue active)
Aug 14 05:40:50 mail postfix/smtpd[1794]: initializing the server-side TLS engine
Aug 14 05:40:50 mail postfix/smtpd[1794]: connect from localhost[127.0.0.1]
Aug 14 05:40:50 mail postfix/smtpd[1794]: F331578007E: client=localhost[127.0.0.1]
Aug 14 05:40:50 mail postfix/cleanup[1791]: F331578007E: message-id=<201308140537507F2559E2EA$A6CF2653F2@FEEBB>
Aug 14 05:40:51 mail postfix/smtpd[1794]: disconnect from localhost[127.0.0.1]
Aug 14 05:40:51 mail postfix/qmgr[19929]: F331578007E: from=<usuariodaempresa@meudominio.com.br>, size=3389, nrcpt=1 (queue active)
Aug 14 05:40:51 mail amavis[1514]: (01514-09) Passed CLEAN, [69.162.84.186] [173.255.189.59] <usuariodaempresa@meudominio.com.br> -> <usuariodaempresa@meudominio.com.br>, Message-ID: <201308140537507F2559E2EA$A6CF2653F2@FEEBB>, mail_id: 7e2R3SjxVpVh, Hits: -, size: 2988, queued_as: F331578007E, 117 ms
Aug 14 05:40:51 mail postfix/smtp[1792]: A9AFC78007D: to=<usuariodaempresa@meudominio.com.br>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.4, delays=1.3/0.01/0/0.12, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=01514-09, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as F331578007E)
Aug 14 05:40:51 mail postfix/qmgr[19929]: A9AFC78007D: removed
Aug 14 05:40:51 mail postfix/smtpd[1468]: disconnect from 186-84-162-69.brunosanches.com.br[69.162.84.186]
Aug 14 05:40:51 mail postfix/local[1795]: F331578007E: to=<usuariodaempresa@meudominio.com.br>, orig_to=<usuariodaempresa@meudominio.com.br>, relay=local, delay=0.26, delays=0.04/0/0/0.21, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")



  


2. Re: SPAM usando email de outro

Joca (Altemir Braz Dantas Junior)
jocajuni

(usa Debian)

Enviado em 14/08/2013 - 13:09h

Vc poderia me mostrar como esta as seguintes linhas do arquivo main.cf

mynetworks
e a linha
smtpd_recipient_restrictions


[]s
Jocajuni


3. Re: SPAM usando email de outro

Felipe Leira
camun

(usa Ubuntu)

Enviado em 15/08/2013 - 07:23h

aqui vai quase todo meu postfix, nao sei mais o que fazer esse spam brunosanches ta se conectando direto


myhostname = meudominio.com.br
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = dominio.com.br
relayhost =
mynetworks = 127.0.0.0/8 minharede/24
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
message_size_limit = 0

queue_run_delay = 30s
minimal_backoff_time = 900s
maximal_backoff_time = 3600s
maximal_queue_lifetime = 2h

recipient_delimiter = +
inet_interfaces = all
smtpd_sasl_local_domain = dominio.com.br
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes


smtpd_tls_auth_only = no
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem
smtpd_tls_loglevel = 2
smtp_connect_timeout = 10s
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
inet_protocols = ipv4
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtpd_helo_required = yes

#Alterações antisapm
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks, check_recipient_access regexp:/etc/postfix/sender-proibidos, reject_unauth_destination, reject_rbl_client bl.spamcop.net, reject_rbl_client cbl.abuseat.org
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unauth_pipelining, check_sender_access regexp:/etc/postfix/sender-proibidos
# tempo limite para identificacao do Helo
smtp_helo_timeout = 60s

# Bloquear apos o comando RCPT TO
smtpd_delay_reject = yes
# Numero Maximo de destinatario em uma mensagem
smtpd_recipient_limit = 100
# Caixa postal inexistente devolver erro 500 para nao processar varias vezes
unknown_local_recipient_reject_code = 500
# Rejeitar enderecos desconhecidos
unknown_address_reject_code = 554
# Rejeitar hostname desconhecidos
unknown_hostname_reject_code = 554
# Rejeitar clientes desconhecidos
unknown_client_reject_code = 554
#Conexoes remotas no servidor destino
smtp_destination_concurrency_limit = 7
# Maximo de Conexoes simultanaes em nosso servidor
smtp_destination_recipient_limit = 4
#numeros de erros 500 que podem ser cometidos, depois desconecta
smtpd_hard_error_limit = 2
# numero de erros 400 que podem ser cometidos, depois desconecta
smtpd_soft_error_limit = 2
# Numero de conexao que podem fazer por minuto
smtpd_client_connection_count_limit = 8
# Numero de mensagens enviadas por minuto
smtpd_client_message_rate_limit = 10
# Travar os spammers a cada erro por 30s
smtpd_error_sleep_time = 300s


# Enderecos envelopados com <>
strict_rfc821_envelopes = yes
smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unknown_client, check_client_access hash:/etc/postfix/ip-access
smtpd_helo_restrictions =check_helo_access regexp:/etc/postfix/helo-proibidos
mime_header_checks=regexp:/etc/postfix/anexos
body_checks = regexp:/etc/postfix/anexos
content_filter=smtp-amavis:[127.0.0.1]:10024
bounce_notice_recipient = postmaster@sotrel.com.br
2bounce_notice_recipient = postmaster@sotrel.com.br
delay_notice_recipient = postmaster@sotrel.com.br
error_notice_recipient = postmaster@sotrel.com.br



4. Re: SPAM usando email de outro

Felipe Leira
camun

(usa Ubuntu)

Enviado em 16/08/2013 - 07:21h

galera preciso muito de ajuda, nao paro de receber esses SPAM


5. Re: SPAM usando email de outro

Felipe Leira
camun

(usa Ubuntu)

Enviado em 16/08/2013 - 12:35h

alguem?


6. Re: SPAM usando email de outro

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 16/08/2013 - 13:05h

camun escreveu:

alguem?


Cara seu servidor esta permitindo autenticar como anonimo veja:
Anonymous TLS connection established

Teste o IP de seu servidor e veja se te mostra algo relevante :
http://www.mxtoolbox.com/diagnostic.aspx
No mais pode bloquear via firewall ou blacklist o IP 69.162.84.186


7. Re: SPAM usando email de outro

Felipe Leira
camun

(usa Ubuntu)

Enviado em 16/08/2013 - 13:33h

entao passou em todos os testes no site que voce me informou. eu sei dessa conecção mas como eu bloqueio ja fiz de tudo no postfix como pode ver acima, esse é o problema.


8. Re: SPAM usando email de outro

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 16/08/2013 - 13:42h

camun escreveu:

entao passou em todos os testes no site que voce me informou. eu sei dessa conecção mas como eu bloqueio ja fiz de tudo no postfix como pode ver acima, esse é o problema.


Se não tiver um firewall coloque a linha dentro de /etc/rc.local antes do end:

iptables -I INPUT -s 69.162.84.186 -j DROP

pronto ele não pode mais conectar em nenhuma porta

obs: rode a linha manualmente para efeito imediato ou reinicie o servidor


9. Re: SPAM usando email de outro

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 16/08/2013 - 13:47h

Ou pelo postfix veja o item 4.1:
http://www.unitednerds.org/thefallen/docs/?area=Postfix&tuto=Postfix-AntiSpam-1


10. Re: SPAM usando email de outro

Felipe Leira
camun

(usa Ubuntu)

Enviado em 16/08/2013 - 14:07h

Andre eu utilizo essas regras é so vc olhar meu postfix acima, e tambem tenho o FW porem nao queria ficar toda hora caçando esses Ips, mas pelo que vejo nao tem outra forma, pois, ninguem sabe como bloquer isso. ta brabo rs


11. Re: SPAM usando email de outro

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 16/08/2013 - 14:26h

camun escreveu:

Andre eu utilizo essas regras é so vc olhar meu postfix acima, e tambem tenho o FW porem nao queria ficar toda hora caçando esses Ips, mas pelo que vejo nao tem outra forma, pois, ninguem sabe como bloquer isso. ta brabo rs


Sim eu vi a regra mas de alguma forma parece que ela não esta funcionando um whois para este IP:

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#


#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=69.162.84.186?showDetails=true&showARIN=false&ext=netref2
#

NetRange: 69.162.64.0 - 69.162.127.255
CIDR: 69.162.64.0/18
OriginAS: AS46475
NetName: LSN-DLLSTX-2
NetHandle: NET-69-162-64-0-1
Parent: NET-69-0-0-0-0
NetType: Direct Allocation
Comment: http://www.limestonenetworks.com
RegDate: 2008-06-27
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET-69-162-64-0-1

OrgName: Limestone Networks, Inc.
OrgId: LIMES-2
Address: 400 S. Akard Street
Address: Suite 200
City: Dallas
StateProv: TX
PostalCode: 75202
Country: US
RegDate: 2007-12-04
Updated: 2010-01-26
Comment: http://limestonenetworks.com/
Ref: http://whois.arin.net/rest/org/LIMES-2

ReferralServer: rwhois://rwhois.limestonenetworks.com:4321

OrgTechHandle: NOC2791-ARIN
OrgTechName: Network Operations Center
OrgTechPhone: +1-214-586-0555
OrgTechEmail: noc@limestonenetworks.com
OrgTechRef: http://whois.arin.net/rest/poc/NOC2791-ARIN

OrgAbuseHandle: ABUSE1804-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-242-3600
OrgAbuseEmail: abuse@limestonenetworks.com
OrgAbuseRef: http://whois.arin.net/rest/poc/ABUSE1804-ARIN

RAbuseHandle: ABUSE1804-ARIN
RAbuseName: Abuse
RAbusePhone: +1-214-242-3600
RAbuseEmail: abuse@limestonenetworks.com
RAbuseRef: http://whois.arin.net/rest/poc/ABUSE1804-ARIN

RNOCHandle: NOC2791-ARIN
RNOCName: Network Operations Center
RNOCPhone: +1-214-586-0555
RNOCEmail: noc@limestonenetworks.com
RNOCRef: http://whois.arin.net/rest/poc/NOC2791-ARIN

RTechHandle: NOC2791-ARIN
RTechName: Network Operations Center
RTechPhone: +1-214-586-0555
RTechEmail: noc@limestonenetworks.com
RTechRef: http://whois.arin.net/rest/poc/NOC2791-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#



Uma referência para·rwhois.limestonenetworks.com:4321 encontrada.

%rwhois V-1.5:003fff:00 rwhois.limestonenetworks.com (by Network Solutions, Inc. V-1.5.9.5)
network:Class-Name:network
network:ID:LSN-BLK-69.162.64.0/18
network:Auth-Area:69.162.64.0/18
network:Network-Name:LSN-69.162.64.0/18
network:IP-Network:69.162.84.184/29
network:IP-Network-Block:69.162.84.184 - 69.162.84.191
network:Organization-Name:Bruno Sanches Belintani
network:Organization-City:Garça
network:Organization-State:OT
network:Organization-Zip:17400-000
network:Organization-Country:BR
network:Tech-Contact;I:abuse@limestonenetworks.com
network:Admin-Contact;I:abuse@limestonenetworks.com
network:Updated-By:admin@limestonenetworks.com

network:Class-Name:network
network:ID:LSN-BLK-69.162.64.0/18
network:Auth-Area:69.162.64.0/18
network:Network-Name:LSN-69.162.64.0/18
network:IP-Network:69.162.64.0/18
network:IP-Network-Block:69.162.64.0 - 69.162.127.255
network:Organization;I:Limestone Networks
network:Tech-Contact;I:ipadmin@limestonenetworks.com
network:Admin-Contact;I:admin@limestonenetworks.com
network:Created:20080129
network:Updated:20080129
network:Updated-By:admin@limestonenetworks.com

%referral rwhois://root.rwhois.net:4321/auth-area=.
%ok



pode criar a regra para 69.162.64.0/18 ou entrar em contato com o abuse :

network:Tech-Contact;I:abuse@limestonenetworks.com
network:Admin-Contact;I:abuse@limestonenetworks.com
network:Updated-By:admin@limestonenetworks.com


12. Re: SPAM usando email de outro

Felipe Leira
camun

(usa Ubuntu)

Enviado em 16/08/2013 - 15:29h

blz vou fazer isso rsrs o ruim é ter q ficar sempre monitorando, pois, esse foi so um exemplo.



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts