Come posso capire se un utente invia spam dal mio server?

[fmortara]

Salve a tutti!
Ho un server con exim.

Libero.it da qualche giorno respinge le mie email con errore:

550 Too many invalid recipients

che significa che nell'ultima ora sono state spedite troppe email con destinatari non validi e non le recapita al destinatario.

Io stò cercando di capire se qualcuno dei miei utenti invia spam dal server, ma non mi sembra proprio.

Ho controllato tutti i log e non ci sono invii anomali di grosse quantità di email, tra l'altro da directadmin risulterebbe un invio di circa 30/40 email al giorno per ogni dominio...

Cosa posso fare per capirci qualcosa?

Ho provato a fare questa modifica per ricevere io tutti i bounce email ed individuare subito il mittente:
ho inserito in /etc/exim.conf il valore return_path = abuse@dominio.it ed in effetti per tutte le email consegnate il return path è quello, mentre per quelle non recapitate, il return path rimane quello di default o cioè linuxuser@dominiocliente.it, e quindi non ricevo i bounce.

Cos'altro posso fare? Quali log devo controllare, e cosa dovrei trovarci dentro?

PS il server non è un open relay. La coda della posta è sempre vuota, max 2/5 messaggi ogni tanto, non è che libero.it canna qualcosa (visto sopratutto che ha cambiato parecchie cose nella posta?)...?

[dAb]

Io comincerei col bloccare tramite il firewall tutto il traffico in uscita verso la porta 25 all'infuori di quello proveniente dal mailserver. Che potrebbe essere benissimo innocente, la causa potrebbe essere un pc in lan infettato che spara fuori porcherie, e dal punto di vista del mailserver di libero fa sempre fede l'ip pubblico. Per un caso simile sono impazzito due giorni.

[fmortara]

Scusa, il Server è in webfarm... e hosta diversi siti...

Cosa intendi con bloccare tutto il traffico sulla 25 tranne il mailserver?

[dAb]

Sorry, avevo inteso che il mailserver fosse il tuo, cioe` nei tuoi locali e di conseguenza facente parte di una lan dove potessero essere presenti altre macchine colpevoli del problema. Ad ogni modo, l'ip pubblico punta solo al mailserver o viene sfruttato da altri servizi/macchine? Se lo usa solo il mailserver e dai log hai la certezza che non escano schifezze e` facile essere incappato nell'orrido sistema di blacklist di libero: bloccano le subnet, non i singoli indirizzi. Ergo la responsabilita` potrebbe essere benissimo di un vero spammer nella tua stessa subnet.. ti dico solo che per un problema simile ho dovuto mettere di mezzo un legale perche` non c'e` stato verso di ottenere assistenza da libero.

Originariamente inviato da fmortara
Cosa intendi con bloccare tutto il traffico sulla 25 tranne il mailserver?

Quando mi ritrovo ad avere un mailserver con ip pubblico condiviso con altre macchine a valle del firewall faccio in modo che la porta 25 possa essere sfruttata solo dal mailserver stesso in modo da filtrare con certezza ogni altro tentativo di invio da parte di eventuali programmi malevoli su altre macchine.

[fmortara]

bè!
non è questo il caso allora...

Ma io in quale log posso vedere quale traffico email parte verso libero? Perchè fin'ora non ho trovato davvero nulla!

[dAb]

Puo` essere che hai il log_level settato troppo basso? Dai un occhio qui.

[fmortara]

Nel file /etc/exim.conf non c'è nessuna impostazione...
quindi dovrebbe essere impostato a 5 di default, o no?

[dAb]

Yes. Ci sarebbe ancora il 6. Probabilmente l'impostazione del parametro varia da distro a distro, non uso exim da anni. Comunque al di la` dell'mta usato, in /var/log/syslog devi veder passare tutto.

[fmortara]

come lo imposto il 6?

in /etc/exim.conf aggiungo una riga:

log_level = 6

e basta?

[dAb]

Esatto, e riavvii exim.