PDA

Visualizza la versione completa : Come posso capire se un utente invia spam dal mio server?


fmortara
26-06-2008, 17:37
Salve a tutti!
Ho un server con exim.

Libero.it da qualche giorno respinge le mie email con errore:

550 Too many invalid recipients che significa che nell'ultima ora sono state spedite troppe email con destinatari non validi e non le recapita al destinatario.

Io st cercando di capire se qualcuno dei miei utenti invia spam dal server, ma non mi sembra proprio.

Ho controllato tutti i log e non ci sono invii anomali di grosse quantit di email, tra l'altro da directadmin risulterebbe un invio di circa 30/40 email al giorno per ogni dominio...

Cosa posso fare per capirci qualcosa?

Ho provato a fare questa modifica per ricevere io tutti i bounce email ed individuare subito il mittente:
ho inserito in /etc/exim.conf il valore return_path = abuse@dominio.it ed in effetti per tutte le email consegnate il return path quello, mentre per quelle non recapitate, il return path rimane quello di default o cio linuxuser@dominiocliente.it, e quindi non ricevo i bounce.

Cos'altro posso fare? Quali log devo controllare, e cosa dovrei trovarci dentro?

PS il server non un open relay. La coda della posta sempre vuota, max 2/5 messaggi ogni tanto, non che libero.it canna qualcosa (visto sopratutto che ha cambiato parecchie cose nella posta?)...?

dAb
26-06-2008, 21:09
Io comincerei col bloccare tramite il firewall tutto il traffico in uscita verso la porta 25 all'infuori di quello proveniente dal mailserver. Che potrebbe essere benissimo innocente, la causa potrebbe essere un pc in lan infettato che spara fuori porcherie, e dal punto di vista del mailserver di libero fa sempre fede l'ip pubblico. Per un caso simile sono impazzito due giorni.

fmortara
26-06-2008, 21:32
Scusa, il Server in webfarm... e hosta diversi siti...

Cosa intendi con bloccare tutto il traffico sulla 25 tranne il mailserver?

dAb
26-06-2008, 22:19
Sorry, avevo inteso che il mailserver fosse il tuo, cioe` nei tuoi locali e di conseguenza facente parte di una lan dove potessero essere presenti altre macchine colpevoli del problema. Ad ogni modo, l'ip pubblico punta solo al mailserver o viene sfruttato da altri servizi/macchine? Se lo usa solo il mailserver e dai log hai la certezza che non escano schifezze e` facile essere incappato nell'orrido sistema di blacklist di libero: bloccano le subnet, non i singoli indirizzi. Ergo la responsabilita` potrebbe essere benissimo di un vero spammer nella tua stessa subnet.. ti dico solo che per un problema simile ho dovuto mettere di mezzo un legale perche` non c'e` stato verso di ottenere assistenza da libero.


Originariamente inviato da fmortara
Cosa intendi con bloccare tutto il traffico sulla 25 tranne il mailserver?

Quando mi ritrovo ad avere un mailserver con ip pubblico condiviso con altre macchine a valle del firewall faccio in modo che la porta 25 possa essere sfruttata solo dal mailserver stesso in modo da filtrare con certezza ogni altro tentativo di invio da parte di eventuali programmi malevoli su altre macchine.

fmortara
27-06-2008, 00:56
b!
non questo il caso allora...

Ma io in quale log posso vedere quale traffico email parte verso libero? Perch fin'ora non ho trovato davvero nulla!

:dh:

dAb
27-06-2008, 01:46
Puo` essere che hai il log_level settato troppo basso? Dai un occhio qui (http://www.exim.org/exim-html-3.20/doc/html/spec_51.html).

fmortara
27-06-2008, 02:17
Nel file /etc/exim.conf non c' nessuna impostazione...
quindi dovrebbe essere impostato a 5 di default, o no?

dAb
27-06-2008, 02:39
Yes. Ci sarebbe ancora il 6. Probabilmente l'impostazione del parametro varia da distro a distro, non uso exim da anni. Comunque al di la` dell'mta usato, in /var/log/syslog devi veder passare tutto.

fmortara
27-06-2008, 03:00
come lo imposto il 6?

in /etc/exim.conf aggiungo una riga:

log_level = 6

e basta?

dAb
27-06-2008, 03:11
Esatto, e riavvii exim.

Loading