[LUG.ro] Problema con spam saliente en postfix

Mie Dic 14 11:40:25 ART 2011

El 14/12/11 11:32, Gonzalo F. Buszmicz escribió:
> Hola gente, qué tal.
>
> Los molesto con una consulta:
> hace unas dos semanas aprox estoy teniendo problemas con SPAM saliente en mi servicio de correo.
>
> Mi servicio se compone de:
> postfix + amavis + clamav + spamassassin, y utilizo como webmail squirrelmail.
> El sitio web de la empresa tiene un acceso al Webmail, y este último se encuentra en un servidor aparte (el servidor de correo).
>
> Ya hice todos los chequeos correspondientes respecto a "open relay", verificando la configuración local y haciendo pruebas externas desde sitios que chequean este tipo de cosas. Les comento esto último porque me sorprende ver las siguientes líneas en los logs:
>
>
> [reemplazo el nombre de mi servidor de correo por MI_DOMINIO]
> [mi servidor Web tiene ip de LAN: 172.20.0.10]
>
> -----
> Dec 13 18:36:27 mail postfix/smtpd[11436]: 270D0D4000A: client=localhost[127.0.0.1]
> Dec 13 18:36:27 mail postfix/cleanup[13378]: 270D0D4000A: message-id=<52617.172.20.0.10.1323812187.squirrel en MI_DOMINIO>
> Dec 13 18:36:27 mail postfix/qmgr[3349]: 270D0D4000A: from=<faustodec en yahoo.com>, size=2255, nrcpt=100 (queue active)
> Dec 13 18:36:33 mail postfix/smtp[13527]: 270D0D4000A: to=<agentnews en agents.umbc.edu>, relay=127.0.0.1[127.0.0.1], delay=6, status=sent (250 2.7.1 Ok, discarded, UBE, id=10752-09)
> Dec 13 18:36:33 mail postfix/smtp[13527]: 270D0D4000A: to=<agents-digest en agents.umbc.edu>, relay=127.0.0.1[127.0.0.1], delay=6, status=sent (250 2.7.1 Ok, discarded, UBE, id=10752-09)
> Dec 13 18:36:33 mail postfix/smtp[13527]: 270D0D4000A: to=<agents en agents.umbc.edu>, relay=127.0.0.1[127.0.0.1], delay=6, status=sent (250 2.7.1 Ok, discarded, UBE, id=10752-09)
> Dec 13 18:36:33 mail postfix/smtp[13527]: 270D0D4000A: to=<agentweb en agents.umbc.edu>, relay=127.0.0.1[127.0.0.1], delay=6, status=sent (250 2.7.1 Ok, discarded, UBE, id=10752-09)
> Dec 13 18:36:33 mail postfix/smtp[13527]: 270D0D4000A: to=<kqml-digest en agents.umbc.edu>, relay=127.0.0.1[127.0.0.1], delay=6, status=sent (250 2.7.1 Ok, discarded, UBE, id=10752-09)
> Dec 13 18:36:33 mail postfix/smtp[13527]: 270D0D4000A: to=<kqml en agents.umbc.edu>, relay=127.0.0.1[127.0.0.1], delay=6, status=sent (250 2.7.1 Ok, discarded, UBE, id=10752-09)
> Dec 13 18:36:33 mail postfix/smtp[13527]: 270D0D4000A: to=<ontology en agents.umbc.edu>, relay=127.0.0.1[127.0.0.1], delay=6, status=sent (250 2.7.1 Ok, discarded, UBE, id=10752-09)
> [.... unas 100 lineas más similares....]
> Dec 13 18:36:35 mail postfix/qmgr[3349]: 270D0D4000A: removed
> -----
>
> Lo que entiendo del log es que se están conectando a mi servidor utilizando una dirección de yahoo (faustodec en yahoo.com), y desde ahí SPAMEAN. Por esto mismo les comentaba anteriormente que NO está configurado como "Open relay". Siempre es la misma dirección (faustodec en yahoo.com).
>
> Incluso tengo bloqueada dicha dirección (faustodec en yahoo.com) en el Spamassassin, y aún así sigo con este inconveniente.
> Aclaro que el spamassassin se encuentra funcionando correctamente porque he hecho pruebas con una dirección MIA y efectivamente me bloquea.
>
> Utilizamos Symantec como antivirus en la LAN y ya hice escaneos de todas las PCs para aseguramente que ninguna esté generando el SPAM. Incluso esos horarios, los que se ven en los logs (18:36hs), son cuando prácticamente no hay PCs encendidas. De todas formas este problema lo veo durante todo el día, sin horarios específicos.
>
> Alguna idea?
> Desde ya muchas gracias!
>
> Saludos./
> --
>
> Fernando.
>
> _______________________________________________
> Lugro mailing list
> Lugro en lugro.org.ar
> http://lugro.org.ar/mailman/listinfo/lugro

Hace un tiempo me paso algo parecido, spamhaus me bloqueaba la ip a cada 
rato, el problema era que una de las maquinas de mi lan tenia esto:
http://www.vsantivirus.com/brontok-cv.htm
Yo buscaria por ese lado....
Slds
Ernesto