Re: problema LOCALRELAY Alert
Etienne Melián A. escribió: > hay una opcion donde puedo limitar el maximo numero de envios de email por > hora. pero al tener esta porquería que manda spam, me satura y deja sin > poder enviar email a los usuarios. :-( > cuando pasa esto, es una especie de infección, o alguien esta manipulando el > server. Es posible que no sea ni lo uno ni lo otro, sino que el servidor está mal configurado y alguien se dió cuenta y se están aprovechando del problema. O bien, el sistema tiene un agujero de seguridad, alguien se coló y cambió la configuración. Supongo que tienes una distribución de linux soportada y con todos los parches al día. > ¿se soluciona si le cambio la ip o sería algo momentaneo? Con suerte podría ser momentáneo; es posible que no soluciones nada con eso. > ¿existe algun programa que pueda correr por consola y me acuse que esta > pasando permitiendome darle solución? > ¿hay algun tip o manual en internet que me puedas recomendar para poder ver > este tema? No sé de ningún programa automático que detecte el defecto de configuración (obviamente, quien encontró la falla tiene un programa que sabe cómo buscar el síntoma y cómo explotarlo, pero de ahí a que te indique cómo corregir la configuración, hay mucha distancia). Algunos comentarios: 1. hospedar email es muy difícil (y por lo tanto caro). No por nada mucha gente hospeda en otro lado (como google apps) o usa plataformas pre-configuradas. 2. al cambiar la configuración de plataformas estándares te arriesgas a problemas como el presente. "Parece que funciona", sin saber exactamente qué estás haciendo, es muy arriesgado. 3. Si insistes en hospedar el email tú mismo, necesitas asesoría para configurar el sistema correctamente. -- Álvaro Herrerahttp://www.twitter.com/alvherre "La victoria es para quien se atreve a estar solo"
Re: problema LOCALRELAY Alert
Administro servidores con cPanel y WHM. Generalmente este tipo de alertas se puede disparar por algun script que alguien subio (o te inyectaron) en algun directorio web. Te recomiendo que revises bien los logs de exim y ademas limites el limite maximo de envios por hora de los usuarios, con el fin de "limitar" un poco esta sobredemanda. Saludos! El 1 de marzo de 2017, 1:26, Etienne Melián A.escribió: > hola a todos listeros Linux, > > quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo: > "lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario". > > resulta que desde hoy durante el día me empezaron a llegar esos emails. > que tienen como contenido algo así, como pego despues de los "- - - - -". > > hasta ahora, me han llegado más de 4.000 emails > > intenté cambiando la clave del cpanel. > > a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los > emails que llegan, hacen referencia a un dominio (usuario) en particular. > los otros no se han visto afectados. > > corrí el clamav y detecto algunos troyanos. ejecuté limpiar todo, pero > sigue el problema. > > porfa, si me pueden indicar que podría hacer para evitar esta situación > antes que me genere mayores problemas con el dominio en cuestión. > > muchas gracias de antemano. > > este es el contenido que me llega en el email. > > - - - - > > Time: Wed Mar 1 01:14:04 2017 -0300 > Type: LOCALRELAY, Local Account - usuario > Count: 101 emails relayed > Blocked: No > > Sample of the first 10 emails: > > 2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl > U=usuario P=local S=2433 T="You received a private message from NatWest" > forjohn.cuthbert...@laidlaw.net > 2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl > U=usuario P=local S=2433 T="You received a private message from NatWest" > forjohn.cut...@cutlermarine.com > 2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl > U=usuario P=local S=2447 T="You received a private message from NatWest" > forjohn.cut...@hammond-logistics.co.uk > 2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl > U=usuario P=local S=2441 T="You received a private message from NatWest" > forjohn.czarn...@serversource.co.uk > 2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl > U=usuario P=local S=2429 T="You received a private message from NatWest" > forjohn.d.greenw...@jgb.co.uk > 2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl > U=usuario P=local S=2425 T="You received a private message from NatWest" > forjohn.da...@propmanco.com > 2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl > U=usuario P=local S=2423 T="You received a private message from NatWest" > forjohn.dai...@vosa.gov.uk > 2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl > U=usuario P=local S=2421 T="You received a private message from NatWest" > forjohn.da...@marshmc.com > 2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl > U=usuario P=local S=2421 T="You received a private message from NatWest" > forjohn.dal...@virgin.net > 2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl > U=usuario P=local S=2435 T="You received a private message from NatWest" > forjohn.dallim...@lcegroup.co.uk > > - - - - - > > -- Carlos Tirado Elgueta Google Cloud Partner G Suite Specialist. http://www.chilemedios.cl
Re: problema LOCALRELAY Alert
hola. gracias por tu respuesta. hay una opcion donde puedo limitar el maximo numero de envios de email por hora. pero al tener esta porquería que manda spam, me satura y deja sin poder enviar email a los usuarios. te hago una consulta. cuando pasa esto, es una especie de infección, o alguien esta manipulando el server. ¿se soluciona si le cambio la ip o sería algo momentaneo? ¿existe algun programa que pueda correr por consola y me acuse que esta pasando permitiendome darle solución? ¿hay algun tip o manual en internet que me puedas recomendar para poder ver este tema? muchas gracias. te pasaste. saludos. Etienne. El 01-03-17 a las 13:26, Alvaro Herrera escribió: Etienne Melián A. escribió: hola a todos listeros Linux, quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo: "lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario". resulta que desde hoy durante el día me empezaron a llegar esos emails. que tienen como contenido algo así, como pego despues de los "- - - - -". hasta ahora, me han llegado más de 4.000 emails intenté cambiando la clave del cpanel. a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los emails que llegan, hacen referencia a un dominio (usuario) en particular. los otros no se han visto afectados. Esto suena a que hay un error en la configuración del servidor de correo, que está permitiendo pasar más cosas de las que debería. Por lo visto parece que te están usando de pasarela para distribuir spam ... ¿Revisaste tus logs? Sample of the first 10 emails: 2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl U=usuario P=local S=2433 T="You received a private message from NatWest" forjohn.cuthbert...@laidlaw.net 2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl U=usuario P=local S=2433 T="You received a private message from NatWest" forjohn.cut...@cutlermarine.com 2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl U=usuario P=local S=2447 T="You received a private message from NatWest" forjohn.cut...@hammond-logistics.co.uk 2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl U=usuario P=local S=2441 T="You received a private message from NatWest" forjohn.czarn...@serversource.co.uk 2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl U=usuario P=local S=2429 T="You received a private message from NatWest" forjohn.d.greenw...@jgb.co.uk 2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl U=usuario P=local S=2425 T="You received a private message from NatWest" forjohn.da...@propmanco.com 2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl U=usuario P=local S=2423 T="You received a private message from NatWest" forjohn.dai...@vosa.gov.uk 2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl U=usuario P=local S=2421 T="You received a private message from NatWest" forjohn.da...@marshmc.com 2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl U=usuario P=local S=2421 T="You received a private message from NatWest" forjohn.dal...@virgin.net 2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl U=usuario P=local S=2435 T="You received a private message from NatWest" forjohn.dallim...@lcegroup.co.uk
Re: problema LOCALRELAY Alert
Etienne Melián A. escribió: > hola a todos listeros Linux, > > quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo: > "lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario". > > resulta que desde hoy durante el día me empezaron a llegar esos emails. que > tienen como contenido algo así, como pego despues de los "- - - - -". > > hasta ahora, me han llegado más de 4.000 emails > > intenté cambiando la clave del cpanel. > > a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los emails > que llegan, hacen referencia a un dominio (usuario) en particular. los otros > no se han visto afectados. Esto suena a que hay un error en la configuración del servidor de correo, que está permitiendo pasar más cosas de las que debería. Por lo visto parece que te están usando de pasarela para distribuir spam ... ¿Revisaste tus logs? > Sample of the first 10 emails: > > 2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl U=usuario > P=local S=2433 T="You received a private message from NatWest" > forjohn.cuthbert...@laidlaw.net > 2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl U=usuario > P=local S=2433 T="You received a private message from NatWest" > forjohn.cut...@cutlermarine.com > 2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl U=usuario > P=local S=2447 T="You received a private message from NatWest" > forjohn.cut...@hammond-logistics.co.uk > 2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl U=usuario > P=local S=2441 T="You received a private message from NatWest" > forjohn.czarn...@serversource.co.uk > 2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl U=usuario > P=local S=2429 T="You received a private message from NatWest" > forjohn.d.greenw...@jgb.co.uk > 2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl U=usuario > P=local S=2425 T="You received a private message from NatWest" > forjohn.da...@propmanco.com > 2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl U=usuario > P=local S=2423 T="You received a private message from NatWest" > forjohn.dai...@vosa.gov.uk > 2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl U=usuario > P=local S=2421 T="You received a private message from NatWest" > forjohn.da...@marshmc.com > 2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl U=usuario > P=local S=2421 T="You received a private message from NatWest" > forjohn.dal...@virgin.net > 2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl U=usuario > P=local S=2435 T="You received a private message from NatWest" > forjohn.dallim...@lcegroup.co.uk -- Álvaro HerreraPostgreSQL Expert, https://www.2ndQuadrant.com/ "Para tener más hay que desear menos"
problema LOCALRELAY Alert
> hola a todos listeros Linux, > > quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo: > "lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario". > > resulta que desde hoy durante el día me empezaron a llegar esos emails. que > tienen como contenido algo así, como pego despues de los "- - - - -". > > hasta ahora, me han llegado más de 4.000 emails > > intenté cambiando la clave del cpanel. > > a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los emails > que llegan, hacen referencia a un dominio (usuario) en particular. los otros > no se han visto afectados. > > corrí el clamav y detecto algunos troyanos. ejecuté limpiar todo, pero sigue > el problema. > > porfa, si me pueden indicar que podría hacer para evitar esta situación antes > que me genere mayores problemas con el dominio en cuestión. > > muchas gracias de antemano. > > este es el contenido que me llega en el email. > > - - - - > > Time: Wed Mar 1 01:14:04 2017 -0300 > Type: LOCALRELAY, Local Account - usuario > Count: 101 emails relayed > Blocked: No > > Sample of the first 10 emails: > > 2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl U=usuario > P=local S=2433 T="You received a private message from NatWest" > forjohn.cuthbert...@laidlaw.net > 2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl U=usuario > P=local S=2433 T="You received a private message from NatWest" > forjohn.cut...@cutlermarine.com > 2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl U=usuario > P=local S=2447 T="You received a private message from NatWest" > forjohn.cut...@hammond-logistics.co.uk > 2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl U=usuario > P=local S=2441 T="You received a private message from NatWest" > forjohn.czarn...@serversource.co.uk > 2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl U=usuario > P=local S=2429 T="You received a private message from NatWest" > forjohn.d.greenw...@jgb.co.uk > 2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl U=usuario > P=local S=2425 T="You received a private message from NatWest" > forjohn.da...@propmanco.com > 2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl U=usuario > P=local S=2423 T="You received a private message from NatWest" > forjohn.dai...@vosa.gov.uk > 2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl U=usuario > P=local S=2421 T="You received a private message from NatWest" > forjohn.da...@marshmc.com > 2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl U=usuario > P=local S=2421 T="You received a private message from NatWest" > forjohn.dal...@virgin.net > 2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl U=usuario > P=local S=2435 T="You received a private message from NatWest" > forjohn.dallim...@lcegroup.co.uk > > - - - - - >
problema LOCALRELAY Alert
hola a todos listeros Linux, quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo: "lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario". resulta que desde hoy durante el día me empezaron a llegar esos emails. que tienen como contenido algo así, como pego despues de los "- - - - -". hasta ahora, me han llegado más de 4.000 emails intenté cambiando la clave del cpanel. a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los emails que llegan, hacen referencia a un dominio (usuario) en particular. los otros no se han visto afectados. corrí el clamav y detecto algunos troyanos. ejecuté limpiar todo, pero sigue el problema. porfa, si me pueden indicar que podría hacer para evitar esta situación antes que me genere mayores problemas con el dominio en cuestión. muchas gracias de antemano. este es el contenido que me llega en el email. - - - - Time: Wed Mar 1 01:14:04 2017 -0300 Type: LOCALRELAY, Local Account - usuario Count: 101 emails relayed Blocked: No Sample of the first 10 emails: 2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl U=usuario P=local S=2433 T="You received a private message from NatWest" forjohn.cuthbert...@laidlaw.net 2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl U=usuario P=local S=2433 T="You received a private message from NatWest" forjohn.cut...@cutlermarine.com 2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl U=usuario P=local S=2447 T="You received a private message from NatWest" forjohn.cut...@hammond-logistics.co.uk 2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl U=usuario P=local S=2441 T="You received a private message from NatWest" forjohn.czarn...@serversource.co.uk 2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl U=usuario P=local S=2429 T="You received a private message from NatWest" forjohn.d.greenw...@jgb.co.uk 2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl U=usuario P=local S=2425 T="You received a private message from NatWest" forjohn.da...@propmanco.com 2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl U=usuario P=local S=2423 T="You received a private message from NatWest" forjohn.dai...@vosa.gov.uk 2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl U=usuario P=local S=2421 T="You received a private message from NatWest" forjohn.da...@marshmc.com 2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl U=usuario P=local S=2421 T="You received a private message from NatWest" forjohn.dal...@virgin.net 2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl U=usuario P=local S=2435 T="You received a private message from NatWest" forjohn.dallim...@lcegroup.co.uk - - - - -