Re: Identificar SPAMMER
Estimados amigos :) Una de las cosas más interesantes de los hilos de conversación, son los resultados a los que llegó el del problema. En definitiva, encontramos un poco de todo. Del total de correo extra que estábamos enviando, un 80% se resolvió al encontrar máquinas con spyware que limpiamos. Desgraciadamente no encontré una forma de identificar a estos individuos de una manera simple, por lo que tuvimos que pasar por todos los computadores revisando. El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos que recurrir a los amigos de IT-Linux (que son maestros en Zimbra) para que nos enseñaran a revisar los logs, porque aunque dedicamos muchas horas en el análisis, no dimos con la forma. Básicamente, usamos el comando grep sobre los archivos zimbra.log.* buscando las entradas de autentificación (sasl_username) y descartando de la salida las conexiones desde IP en Chile, preguntando por IP encontrada con el comando whois. Al final era una cuenta de bodega que un tipo en Marruecos usaba. Salu2, y espero que esto sirva para la bitácora. El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió: solo debes de revisar los logs de tu mailserver. Es muy tipico que te logren intervenir las cuentas de usuarios donde la contraseña sea debil, ejemplo user: pep...@dominio.cl pass: pepito Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma remota como a traves del webmail para enviar spam. Intenta revisar que volumen de mail han enviados tus usuarios, cuando detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus preferencia (webmail zimbra) lo mas probable, es que aparecezca con otro nombre y ademas con una cuenta para el reenvio de los mail :) Saludos y suerte! El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com escribió: Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2,
Re: Identificar SPAMMER
2011/7/27 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com: Estimados amigos :) Una de las cosas más interesantes de los hilos de conversación, son los resultados a los que llegó el del problema. En definitiva, encontramos un poco de todo. Del total de correo extra que estábamos enviando, un 80% se resolvió al encontrar máquinas con spyware que limpiamos. Desgraciadamente no encontré una forma de identificar a estos individuos de una manera simple, por lo que tuvimos que pasar por todos los computadores revisando. El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos que recurrir a los amigos de IT-Linux (que son maestros en Zimbra) para que nos enseñaran a revisar los logs, porque aunque dedicamos muchas horas en el análisis, no dimos con la forma. Básicamente, usamos el comando grep sobre los archivos zimbra.log.* buscando las entradas de autentificación (sasl_username) y descartando de la salida las conexiones desde IP en Chile, preguntando por IP encontrada con el comando whois. Al final era una cuenta de bodega que un tipo en Marruecos usaba. Salu2, y espero que esto sirva para la bitácora. El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió: solo debes de revisar los logs de tu mailserver. Es muy tipico que te logren intervenir las cuentas de usuarios donde la contraseña sea debil, ejemplo user: pep...@dominio.cl pass: pepito Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma remota como a traves del webmail para enviar spam. Intenta revisar que volumen de mail han enviados tus usuarios, cuando detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus preferencia (webmail zimbra) lo mas probable, es que aparecezca con otro nombre y ademas con una cuenta para el reenvio de los mail :) Saludos y suerte! El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com escribió: Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2, -- A nosotros hace un par de meses nos paso algo similar, al final llegamos a la determinación que Zimbra como soft en algunos casos puede ser bueno y en otros no, en realidad es como todos, pero en definitiva el problema fue que debido a un bug que tenia zimbra, una persona de afuera logro de alguna forma acceder desde quizás alguna cuenta de de correo de algún usuario y nos empezó a colgar spam como loco, gracias a los análisis realizados encontramos el problema y pudimos neutralizar el ataque. Saludos Cordiales. -- Roberto Quiñones Owner - Service Manager and System ACShell.NET – Internet Services robe...@acshell.net - www.acshell.net San Martin #311 Santiago – CL (Chile) +560981361713
Re: Identificar SPAMMER
Creo que para identificar a las maquinas que enviaban correos como zombies hubiese bastado con una herramienta tipo wireshark :) Atte. 2011/7/27 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Estimados amigos :) Una de las cosas más interesantes de los hilos de conversación, son los resultados a los que llegó el del problema. En definitiva, encontramos un poco de todo. Del total de correo extra que estábamos enviando, un 80% se resolvió al encontrar máquinas con spyware que limpiamos. Desgraciadamente no encontré una forma de identificar a estos individuos de una manera simple, por lo que tuvimos que pasar por todos los computadores revisando. El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos que recurrir a los amigos de IT-Linux (que son maestros en Zimbra) para que nos enseñaran a revisar los logs, porque aunque dedicamos muchas horas en el análisis, no dimos con la forma. Básicamente, usamos el comando grep sobre los archivos zimbra.log.* buscando las entradas de autentificación (sasl_username) y descartando de la salida las conexiones desde IP en Chile, preguntando por IP encontrada con el comando whois. Al final era una cuenta de bodega que un tipo en Marruecos usaba. Salu2, y espero que esto sirva para la bitácora. El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió: solo debes de revisar los logs de tu mailserver. Es muy tipico que te logren intervenir las cuentas de usuarios donde la contraseña sea debil, ejemplo user: pep...@dominio.cl pass: pepito Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma remota como a traves del webmail para enviar spam. Intenta revisar que volumen de mail han enviados tus usuarios, cuando detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus preferencia (webmail zimbra) lo mas probable, es que aparecezca con otro nombre y ademas con una cuenta para el reenvio de los mail :) Saludos y suerte! El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com escribió: Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2, -- Carlos Francisco Tirado Elgueta Google AdWords Professional (GAP) http://www.ChileMedios.com http://www.chilemedios.com/ Red Hat Certified Engineer (RHCE) 805010694850055. http://www.LinuxSupport.cl http://www.linuxsupport.cl/
Re: Identificar SPAMMER
Me acorde de la frase: Todos son Generales despues de la Guerra :-) Mis saludos El 27-07-2011, a las 15:38, Carlos Tirado Elgueta carlos.tir...@gmail.com escribió: Creo que para identificar a las maquinas que enviaban correos como zombies hubiese bastado con una herramienta tipo wireshark :) Atte. 2011/7/27 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Estimados amigos :) Una de las cosas más interesantes de los hilos de conversación, son los resultados a los que llegó el del problema. En definitiva, encontramos un poco de todo. Del total de correo extra que estábamos enviando, un 80% se resolvió al encontrar máquinas con spyware que limpiamos. Desgraciadamente no encontré una forma de identificar a estos individuos de una manera simple, por lo que tuvimos que pasar por todos los computadores revisando. El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos que recurrir a los amigos de IT-Linux (que son maestros en Zimbra) para que nos enseñaran a revisar los logs, porque aunque dedicamos muchas horas en el análisis, no dimos con la forma. Básicamente, usamos el comando grep sobre los archivos zimbra.log.* buscando las entradas de autentificación (sasl_username) y descartando de la salida las conexiones desde IP en Chile, preguntando por IP encontrada con el comando whois. Al final era una cuenta de bodega que un tipo en Marruecos usaba. Salu2, y espero que esto sirva para la bitácora. El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió: solo debes de revisar los logs de tu mailserver. Es muy tipico que te logren intervenir las cuentas de usuarios donde la contraseña sea debil, ejemplo user: pep...@dominio.cl pass: pepito Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma remota como a traves del webmail para enviar spam. Intenta revisar que volumen de mail han enviados tus usuarios, cuando detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus preferencia (webmail zimbra) lo mas probable, es que aparecezca con otro nombre y ademas con una cuenta para el reenvio de los mail :) Saludos y suerte! El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com escribió: Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2, -- Carlos Francisco Tirado Elgueta Google AdWords Professional (GAP) http://www.ChileMedios.com http://www.chilemedios.com/ Red Hat Certified Engineer (RHCE) 805010694850055. http://www.LinuxSupport.cl http://www.linuxsupport.cl/
Re: Identificar SPAMMER
Resumí todas las respuestas que me llegaron en esta respuesta: Respecto a si hay máquinas zombi, está claro que encontré equipos con spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero para reconocerlos fue por descarte: ¿qué máquinas quedaron encendidas el fin de semana?. Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows. Las máquinas con IOs y Linux hasta ahora las estoy descartando. En las estadísticas que manda el servidor a la cuenta admin, no veo que alguno de los usuarios envíe más que antes, pero sí veo que hay gente enviando que no pertenece a mi dominio. Llama mi atención un from: (cuenta de envío en blanco) y un verifibyvisa.fr. Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi atención que aparecen IPs asociadas a la cuenta de envío, pero no son cuentas mías ni las direcciones corresponden a mi segmento de red. Ese informe, me parece, se construye a partir del log del archivo maillog, por lo que no registra quién se identificó para enviar el correo, sino que toma lo registrado en from y to para construir esa estadística. Que alguien esté entrando por la interfaz web, para mi tiene sentido, porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y algo correos... pero el domingo no se envió nada. De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar bastante. Me queda por averiguar quién se identificó para enviar el correo... ¿habrá algún lugar donde quede registrado eso?. El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió: Un zombie en tu red? Un equipo envirulado... SI tienes estadísticas de envío ve quién manda más que antes en promedio y ahí ataca el problema. A la cuenta ad...@dominio.xx llegan esas estadísticas. 2011/7/18 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2,
Re: Identificar SPAMMER
from: Me huele a formulario web explotado, tienes alguno en tu sitio ?? Saludos. - Original Message - From: Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com To: Discusion de Linux en Castellano linux@listas.inf.utfsm.cl Sent: Tuesday, July 19, 2011 11:11 AM Subject: Re: Identificar SPAMMER Resumí todas las respuestas que me llegaron en esta respuesta: Respecto a si hay máquinas zombi, está claro que encontré equipos con spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero para reconocerlos fue por descarte: ¿qué máquinas quedaron encendidas el fin de semana?. Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows. Las máquinas con IOs y Linux hasta ahora las estoy descartando. En las estadísticas que manda el servidor a la cuenta admin, no veo que alguno de los usuarios envíe más que antes, pero sí veo que hay gente enviando que no pertenece a mi dominio. Llama mi atención un from: (cuenta de envío en blanco) y un verifibyvisa.fr. Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi atención que aparecen IPs asociadas a la cuenta de envío, pero no son cuentas mías ni las direcciones corresponden a mi segmento de red. Ese informe, me parece, se construye a partir del log del archivo maillog, por lo que no registra quién se identificó para enviar el correo, sino que toma lo registrado en from y to para construir esa estadística. Que alguien esté entrando por la interfaz web, para mi tiene sentido, porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y algo correos... pero el domingo no se envió nada. De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar bastante. Me queda por averiguar quién se identificó para enviar el correo... ¿habrá algún lugar donde quede registrado eso?. El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió: Un zombie en tu red? Un equipo envirulado... SI tienes estadísticas de envío ve quién manda más que antes en promedio y ahí ataca el problema. A la cuenta ad...@dominio.xx llegan esas estadísticas. 2011/7/18 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2,
Re: Identificar SPAMMER
correle a tus logs AWSTAT, el te mostrará las luz... 2011/7/19 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Resumí todas las respuestas que me llegaron en esta respuesta: Respecto a si hay máquinas zombi, está claro que encontré equipos con spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero para reconocerlos fue por descarte: ¿qué máquinas quedaron encendidas el fin de semana?. Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows. Las máquinas con IOs y Linux hasta ahora las estoy descartando. En las estadísticas que manda el servidor a la cuenta admin, no veo que alguno de los usuarios envíe más que antes, pero sí veo que hay gente enviando que no pertenece a mi dominio. Llama mi atención un from: (cuenta de envío en blanco) y un verifibyvisa.fr. Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi atención que aparecen IPs asociadas a la cuenta de envío, pero no son cuentas mías ni las direcciones corresponden a mi segmento de red. Ese informe, me parece, se construye a partir del log del archivo maillog, por lo que no registra quién se identificó para enviar el correo, sino que toma lo registrado en from y to para construir esa estadística. Que alguien esté entrando por la interfaz web, para mi tiene sentido, porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y algo correos... pero el domingo no se envió nada. De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar bastante. Me queda por averiguar quién se identificó para enviar el correo... ¿habrá algún lugar donde quede registrado eso?. El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió: Un zombie en tu red? Un equipo envirulado... SI tienes estadísticas de envío ve quién manda más que antes en promedio y ahí ataca el problema. A la cuenta ad...@dominio.xx llegan esas estadísticas. 2011/7/18 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2, -- Jorge Palma Escobar
Re: Identificar SPAMMER
On Tue, 2011-07-19 at 11:25 -0400, Victor Hernandez M. wrote: from: Me huele a formulario web explotado, tienes alguno en tu sitio ?? El remitente nulo se usa también para otros propósitos (por ejemplo, notificar un correo no entregado). Pueden ser simplemente consecuencia, pero no necesariamente la causa. - Original Message - From: Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com To: Discusion de Linux en Castellano linux@listas.inf.utfsm.cl Sent: Tuesday, July 19, 2011 11:11 AM Subject: Re: Identificar SPAMMER Resumí todas las respuestas que me llegaron en esta respuesta: Respecto a si hay máquinas zombi, está claro que encontré equipos con spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero para reconocerlos fue por descarte: ¿qué máquinas quedaron encendidas el fin de semana?. Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows. Las máquinas con IOs y Linux hasta ahora las estoy descartando. En las estadísticas que manda el servidor a la cuenta admin, no veo que alguno de los usuarios envíe más que antes, pero sí veo que hay gente enviando que no pertenece a mi dominio. Llama mi atención un from: (cuenta de envío en blanco) y un verifibyvisa.fr. Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi atención que aparecen IPs asociadas a la cuenta de envío, pero no son cuentas mías ni las direcciones corresponden a mi segmento de red. Ese informe, me parece, se construye a partir del log del archivo maillog, por lo que no registra quién se identificó para enviar el correo, sino que toma lo registrado en from y to para construir esa estadística. Que alguien esté entrando por la interfaz web, para mi tiene sentido, porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y algo correos... pero el domingo no se envió nada. De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar bastante. Me queda por averiguar quién se identificó para enviar el correo... ¿habrá algún lugar donde quede registrado eso?. El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió: Un zombie en tu red? Un equipo envirulado... SI tienes estadísticas de envío ve quién manda más que antes en promedio y ahí ataca el problema. A la cuenta ad...@dominio.xx llegan esas estadísticas. 2011/7/18 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. -- Germán Póo-Caamaño http://calcifer.org/
Re: Identificar SPAMMER
Revisa si tienes activado sendmail en alguna de tus maquinas(o quizá alguien que haya instalado Linux en una maquina de tu red), y vé que versión de sendmail tienes puede que alguien esté ejecutando un script como admin usando la cuenta de correo root@localhost , ¿será ese el problema? , o como decían por ahi ¿hay alguna maquina windoze que esta con virus con troyanito que instala un servidor de correos y está mandando mails a diestra y siniestra? Revisa los logs también. Das muy pocos datos para poder darte una mejor respuesta . Saludos. El 18 de julio de 2011 15:46, Rodrigo Valenzuela rvalenzu...@gmail.comescribió: Un zombie en tu red? Un equipo envirulado... SI tienes estadísticas de envío ve quién manda más que antes en promedio y ahí ataca el problema. A la cuenta ad...@dominio.xx llegan esas estadísticas. 2011/7/18 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2, -- Rodrigo Valenzuela -- Patricio Morales Fariña Ingeniero de Ejecución en Informática Universidad de los Lagos Técnico en Programación Computacional CFT Andrés Bello Temuco 045-219291- Temuco Chile cel 78732062 77527789 Linux user number 481578 http://counter.li.org/
Re: Identificar SPAMMER
solo debes de revisar los logs de tu mailserver. Es muy tipico que te logren intervenir las cuentas de usuarios donde la contraseña sea debil, ejemplo user: pep...@dominio.cl pass: pepito Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma remota como a traves del webmail para enviar spam. Intenta revisar que volumen de mail han enviados tus usuarios, cuando detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus preferencia (webmail zimbra) lo mas probable, es que aparecezca con otro nombre y ademas con una cuenta para el reenvio de los mail :) Saludos y suerte! El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com escribió: Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2, -- Carlos Francisco Tirado Elgueta Google AdWords Professional (GAP) http://www.ChileMedios.com http://www.chilemedios.com/ Red Hat Certified Engineer (RHCE) 805010694850055. http://www.LinuxSupport.cl http://www.linuxsupport.cl/
