Topic: Black List

[ragr]

Hola, tengo un problema hace 2 dias la ip de mi servidor de correo entro en algunas listas negras, yo tengo desde hace ya casi un año que a mi servidor le habilite la autenticacion de SMTP y deshabilite el relay para los usuarios no autenticados, tal y como lo explica este link http://wiki.contribs.org/Email#How_do_I_enable_smtp_authentication_for_users_on_the_internal_network , podrian indicarme que log debo de revisar para saber si algun usuario de correo es el que esta enviando spam o que manera tengo de determinar a que se debe el problema de que entre a las listas negras.

tengo SME Server 7.4 con todas las actualizaciones
esta funcionando como server-only

De antemano muchas gracias.

[Normando]

Hola ragr

Si bien tienes habilitada la autenticación SMTP y bloqueado el realy, creo que cualquier computadora en la LAN tiene acceso directo a internet! Dado que usas el SME como server only y no como gateway. Si hay una PC infectada en la RED saldrá de todas maneras a internet utilizando algun SMTP público. Sin embargo la IP afectada es la tuya

Los archivos de registro los puedes ver en el mismo server-manager o en /var/log/qpsmtpd/current y /var/log/qmail/current

Saludos

[ragr]

Gracias por tu respuesta normando, entonces con lo que me dices, lo que tendria que hacer es bloquear el puerto 25 en mi firewall para que no puedan salir por alli las maquinas o maquina infectada?

[Normando]

Digamos que si. Salvo que utilices el servidor delegado SMTP de tu ISP y utilice el puerto 25.
No soy un experto en este tema, pero creo que si tienes el SME autenticado, y en modo server-only, entonces esos emails spam salen directo a internet por medio de tu firewall.

Prueba cerrando el puerto 25, y comienza el trámite con tu ISP para dar de baja de las listas negras tu IP, ya que solo ellos puede efectuar ése trámite.

Saludos

[ragr]

Gracias normando

[d_loayza]

Te comento que si tu ip esta bloqueada por tu IP (Internet Provider, que cosas con las abreviaciones no?) , puedes colocarle temporalmente otra tarjeta de red al servidor, como la IP asignada cambiará ya podrás de inmediato volver a enviar correos.

Te recomiendo que utilices tu servidor como gateway, así podrar revisar todo el tráfico que entra y sale de tu red hacia Internet, el clamav integrado con SME server es muy efectivo y si todos colaboramos enviando alchivos de virus que este no los detecte será más efectivo aún. Un análisis semanal nocturno con reporte a tu correo puedes identificar a usuarios problemáticos.

Se debe crear un zip con contraseña con el virus adentro y dirigirse a http://cgi.clamav.net/sendvirus.cgi para enviarlo.

La protección durante la navegación en Dansguardian te dará una protección adicional y puedes usar qmHandle y Sarg para identificar y resolver problemas.

Luego en las estaciones puedes colocar otro Antivirus que no sea Clamav (Para mayor efectividad) y así tendras un esquema de protección por capas.

Con todo y eso algún bicho siempre se mete

Hay un virus que me ha traido problemas, infecta equipos de WindowsXP y comienza a enviar spam desde esos equipos a razón de 240 mail por minuto por equipo infectado, ofrecen Viagra (Por si a alguien le hace falta ), copias de relojes, etc. no recuerdo ahora el nombre pero el antivirus que me lo detectó y eliminó fué la versión demo de Avast. Yo lo reporte en ClamAV y en AVG.

Espero te ayude.

Saludos cordiales

Ing. Daniel J. Loayza M.