Ajuda com SPAM

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
14 messages Options
Reply | Threaded
Open this post in threaded view
|

Ajuda com SPAM

Christovam Paynes Silva
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Victório "H. Felipe"
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Christovam Paynes Silva



Em 14 de março de 2016 10:38, Victório <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email][hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Victório.


Estava quase isso. Fiz algumas alterações no sábado, e hoje pela manhã estava listado na CBL ainda. Nos logs não consta mais os acessos da primeira mensagem, acredito que isso tenha sido resolvido.
As confs.


# Restricao durante comando HELO/EHLO
smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    reject_non_fqdn_hostname

# Restricao do cliente - Apos o aceite do HELO
smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    #reject_authenticated_sender_login_mismatch,
    #reject_unauthenticated_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,




_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Victório "H. Felipe"
On 14-03-2016 10:50, Christovam Paynes Silva wrote:



Em 14 de março de 2016 10:38, Victório <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Victório.


Estava quase isso. Fiz algumas alterações no sábado, e hoje pela manhã estava listado na CBL ainda. Nos logs não consta mais os acessos da primeira mensagem, acredito que isso tenha sido resolvido.
As confs.


# Restricao durante comando HELO/EHLO
smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    reject_non_fqdn_hostname

# Restricao do cliente - Apos o aceite do HELO
smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    #reject_authenticated_sender_login_mismatch,
    #reject_unauthenticated_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Se seu servidor está listado em alguma blacklist, você deve pedir a remoção do IP, caso contrário algumas podem demorar dias ou semanas na remoção automática.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Christovam Paynes Silva


Em 14 de março de 2016 11:57, Victório <[hidden email]> escreveu:
On 14-03-2016 10:50, Christovam Paynes Silva wrote:



Em 14 de março de 2016 10:38, Victório <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email][hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email][hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email][hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email][hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Victório.


Estava quase isso. Fiz algumas alterações no sábado, e hoje pela manhã estava listado na CBL ainda. Nos logs não consta mais os acessos da primeira mensagem, acredito que isso tenha sido resolvido.
As confs.


# Restricao durante comando HELO/EHLO
smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    reject_non_fqdn_hostname

# Restricao do cliente - Apos o aceite do HELO
smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    #reject_authenticated_sender_login_mismatch,
    #reject_unauthenticated_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Se seu servidor está listado em alguma blacklist, você deve pedir a remoção do IP, caso contrário algumas podem demorar dias ou semanas na remoção automática.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



Na verdade, eu estou removendo todas manhãs da CBL do http://www.abuseat.org.

Toda manhã eu vou lá, removo e começo a enviar emails normalmente.
Estou buscando uma forma de encontrar o motivo dessa listagem. Em primeiro momento achava que fosse devido ao log que mandei no primeiro email.
Como foi corrigido sábado e hoje já fui listado novamente, preciso de algumas dicas para encontrar o motivo dessas listagem. 




_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Aguimar Rezende Junior Rezende
Como feita a gerência da porta 25?

Em 14 de março de 2016 16:50:41 BRT, Christovam Paynes Silva <[hidden email]> escreveu:


Em 14 de março de 2016 11:57, Victório <[hidden email]> escreveu:
On 14-03-2016 10:50, Christovam Paynes Silva wrote:



Em 14 de março de 2016 10:38, Victório <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email][hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email][hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email][hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email][hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Victório.


Estava quase isso. Fiz algumas alterações no sábado, e hoje pela manhã estava listado na CBL ainda. Nos logs não consta mais os acessos da primeira mensagem, acredito que isso tenha sido resolvido.
As confs.


# Restricao durante comando HELO/EHLO
smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    reject_non_fqdn_hostname

# Restricao do cliente - Apos o aceite do HELO
smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    #reject_authenticated_sender_login_mismatch,
    #reject_unauthenticated_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Se seu servidor está listado em alguma blacklist, você deve pedir a remoção do IP, caso contrário algumas podem demorar dias ou semanas na remoção automática.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



Na verdade, eu estou removendo todas manhãs da CBL do http://www.abuseat.org.

Toda manhã eu vou lá, removo e começo a enviar emails normalmente.
Estou buscando uma forma de encontrar o motivo dessa listagem. Em primeiro momento achava que fosse devido ao log que mandei no primeiro email.
Como foi corrigido sábado e hoje já fui listado novamente, preciso de algumas dicas para encontrar o motivo dessas listagem. 





Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Christovam Paynes Silva
Junior, 

hoje estou fazendo da forma abaixo, mas não tenho total certeza que esteja certo. Faz algum tempo que não trabalho com postfix, agora que estou retomando.


smtp      inet  n       -       -       -       -       smtpd
        -o content_filter=filter:dummy

submission inet n       -       n       -       -       smtpd
        -o smtpd_etrn_restrictions=reject
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_sasl_authenticated_header=yes
        -o smtpd_sasl_application_name=smtpd
        -o broken_sasl_auth_clients=yes
        -o smtpd_reject_unlisted_sender=yes
        -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject


Em 14 de março de 2016 16:55, Junior Plug Tecnologia <[hidden email]> escreveu:
Como feita a gerência da porta 25?

Em 14 de março de 2016 16:50:41 BRT, Christovam Paynes Silva <[hidden email]> escreveu:


Em 14 de março de 2016 11:57, Victório <[hidden email]> escreveu:
On 14-03-2016 10:50, Christovam Paynes Silva wrote:



Em 14 de março de 2016 10:38, Victório <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email][hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email][hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email][hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email][hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Victório.


Estava quase isso. Fiz algumas alterações no sábado, e hoje pela manhã estava listado na CBL ainda. Nos logs não consta mais os acessos da primeira mensagem, acredito que isso tenha sido resolvido.
As confs.


# Restricao durante comando HELO/EHLO
smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    reject_non_fqdn_hostname

# Restricao do cliente - Apos o aceite do HELO
smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    #reject_authenticated_sender_login_mismatch,
    #reject_unauthenticated_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Se seu servidor está listado em alguma blacklist, você deve pedir a remoção do IP, caso contrário algumas podem demorar dias ou semanas na remoção automática.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



Na verdade, eu estou removendo todas manhãs da CBL do http://www.abuseat.org.

Toda manhã eu vou lá, removo e começo a enviar emails normalmente.
Estou buscando uma forma de encontrar o motivo dessa listagem. Em primeiro momento achava que fosse devido ao log que mandei no primeiro email.
Como foi corrigido sábado e hoje já fui listado novamente, preciso de algumas dicas para encontrar o motivo dessas listagem. 





Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Aguimar Rezende Junior Rezende
Digo o bloqueio da porta 25, ou seja a liberação só para servidores de email e bloqueio total para o usuário.

Em 14 de março de 2016 17:06:27 BRT, Christovam Paynes Silva <[hidden email]> escreveu:
Junior, 

hoje estou fazendo da forma abaixo, mas não tenho total certeza que esteja certo. Faz algum tempo que não trabalho com postfix, agora que estou retomando.


smtp      inet  n       -       -       -       -       smtpd
        -o content_filter=filter:dummy

submission inet n       -       n       -       -       smtpd
        -o smtpd_etrn_restrictions=reject
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_sasl_authenticated_header=yes
        -o smtpd_sasl_application_name=smtpd
        -o broken_sasl_auth_clients=yes
        -o smtpd_reject_unlisted_sender=yes
        -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject


Em 14 de março de 2016 16:55, Junior Plug Tecnologia <[hidden email]> escreveu:
Como feita a gerência da porta 25?

Em 14 de março de 2016 16:50:41 BRT, Christovam Paynes Silva <[hidden email]> escreveu:


Em 14 de março de 2016 11:57, Victório <[hidden email]> escreveu:
On 14-03-2016 10:50, Christovam Paynes Silva wrote:



Em 14 de março de 2016 10:38, Victório <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email][hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email][hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email][hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email][hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Victório.


Estava quase isso. Fiz algumas alterações no sábado, e hoje pela manhã estava listado na CBL ainda. Nos logs não consta mais os acessos da primeira mensagem, acredito que isso tenha sido resolvido.
As confs.


# Restricao durante comando HELO/EHLO
smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    reject_non_fqdn_hostname

# Restricao do cliente - Apos o aceite do HELO
smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    #reject_authenticated_sender_login_mismatch,
    #reject_unauthenticated_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Se seu servidor está listado em alguma blacklist, você deve pedir a remoção do IP, caso contrário algumas podem demorar dias ou semanas na remoção automática.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



Na verdade, eu estou removendo todas manhãs da CBL do http://www.abuseat.org.

Toda manhã eu vou lá, removo e começo a enviar emails normalmente.
Estou buscando uma forma de encontrar o motivo dessa listagem. Em primeiro momento achava que fosse devido ao log que mandei no primeiro email.
Como foi corrigido sábado e hoje já fui listado novamente, preciso de algumas dicas para encontrar o motivo dessas listagem. 





Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.



Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Aguimar Rezende Junior Rezende
In reply to this post by Victório "H. Felipe"

Faça um teste de relay no site:

http://mxtoolbox.com/diagnostic.aspx

Comente as regras referentes a porta 25 no seu firewall e acrescente as regras abaixo, restart o firewall e faça novamente o teste de relay.

$IPTABLES -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d xxx.yyy.xxx.yyy --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s xxx.yyy.xxx.yyy --sport 25 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s xxx.yyy.xxx.yyy --sport 1024:65535 -d 0/0 --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 0/0 --sport 25 -d xxx.yyy.xxx.yyy --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

onde xxx.yyy.xxx.yyy é o seu ip de internet ou seja o mx para o mundo

Por enquanto vamos esquecer o postfix, as regras acima liberam a porta 25 só para o seu servidor e para o restante dos outros provedores
exceto para usuários.

Poste aqui o resultado

Abraço


Em 14 de março de 2016 10:38:22 BRT, "Victório" <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email][hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório



Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Christovam Paynes Silva


Em 14 de março de 2016 18:02, Junior Plug Tecnologia <[hidden email]> escreveu:

Faça um teste de relay no site:

http://mxtoolbox.com/diagnostic.aspx

Comente as regras referentes a porta 25 no seu firewall e acrescente as regras abaixo, restart o firewall e faça novamente o teste de relay.

$IPTABLES -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d xxx.yyy.xxx.yyy --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s xxx.yyy.xxx.yyy --sport 25 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s xxx.yyy.xxx.yyy --sport 1024:65535 -d 0/0 --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 0/0 --sport 25 -d xxx.yyy.xxx.yyy --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

onde xxx.yyy.xxx.yyy é o seu ip de internet ou seja o mx para o mundo

Por enquanto vamos esquecer o postfix, as regras acima liberam a porta 25 só para o seu servidor e para o restante dos outros provedores
exceto para usuários.

Poste aqui o resultado

Abraço


Em 14 de março de 2016 10:38:22 BRT, "Victório" <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email][hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório



Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Junior,

Realizei as alterações que você recomendou. Só faltou uma regra, as restantes estavam ok.

Quanto ao relay, já tinha testado e está fechado. De qualquer forma segue o resultado.


SMTP Transaction Time19.626 seconds - Not good! on Transaction Time More Info
SMTP Reverse DNS MismatchOK - XXX.XX.XX.XX resolves to dominiocliente.com.br
SMTP Valid HostnameOK - Reverse DNS is a valid Hostname
SMTP Banner CheckOK - Reverse DNS matches SMTP Banner
SMTP TLSOK - Supports TLS.
SMTP Connection Time1.438 seconds - Good on Connection time
SMTP Open RelayOK - Not an open relay.
Session Transcript:
Connecting to XXX.xxx.xxx.xxx

220 mail.dominiocliente.com.br ESMTP Postfix [1250 ms]
EHLO PWS3.mxtoolbox.com
250-mail.dominiocliente.com.br
250-PIPELINING
250-SIZE 36214400
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [781 ms]
MAIL FROM:<[hidden email]>
250 2.1.0 Ok [781 ms]
RCPT TO:<[hidden email]>
554 5.7.1 <[hidden email]>: Relay access denied [1172 ms]

PWS3v2 21345ms

Vou verificar se amanhã estarei em blacklist..
Além disso, você tem outra sugestão?


Obrigado.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Aguimar Rezende Junior Rezende


Em 15 de março de 2016 11:03:54 BRT, Christovam Paynes Silva <[hidden email]> escreveu:


Em 14 de março de 2016 18:02, Junior Plug Tecnologia <[hidden email]> escreveu:

Faça um teste de relay no site:

http://mxtoolbox.com/diagnostic.aspx

Comente as regras referentes a porta 25 no seu firewall e acrescente as regras abaixo, restart o firewall e faça novamente o teste de relay.

$IPTABLES -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d xxx.yyy.xxx.yyy --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s xxx.yyy.xxx.yyy --sport 25 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s xxx.yyy.xxx.yyy --sport 1024:65535 -d 0/0 --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 0/0 --sport 25 -d xxx.yyy.xxx.yyy --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

onde xxx.yyy.xxx.yyy é o seu ip de internet ou seja o mx para o mundo

Por enquanto vamos esquecer o postfix, as regras acima liberam a porta 25 só para o seu servidor e para o restante dos outros provedores
exceto para usuários.

Poste aqui o resultado

Abraço


Em 14 de março de 2016 10:38:22 BRT, "Victório" <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email][hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório



Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Junior,

Realizei as alterações que você recomendou. Só faltou uma regra, as restantes estavam ok.

Quanto ao relay, já tinha testado e está fechado. De qualquer forma segue o resultado.


SMTP Transaction Time19.626 seconds - Not good! on Transaction Time More Info
SMTP Reverse DNS MismatchOK - XXX.XX.XX.XX resolves to dominiocliente.com.br
SMTP Valid HostnameOK - Reverse DNS is a valid Hostname
SMTP Banner CheckOK - Reverse DNS matches SMTP Banner
SMTP TLSOK - Supports TLS.
SMTP Connection Time1.438 seconds - Good on Connection time
SMTP Open RelayOK - Not an open relay.
Session Transcript:
Connecting to XXX.xxx.xxx.xxx

220 mail.dominiocliente.com.br ESMTP Postfix [1250 ms]
EHLO PWS3.mxtoolbox.com
250-mail.dominiocliente.com.br
250-PIPELINING
250-SIZE 36214400
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [781 ms]
MAIL FROM:<[hidden email]>
250 2.1.0 Ok [781 ms]
RCPT TO:<[hidden email]>
554 5.7.1 <[hidden email]>: Relay access denied [1172 ms]

PWS3v2 21345ms

Vou verificar se amanhã estarei em blacklist..
Além disso, você tem outra sugestão?


Obrigado.



Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Bom dia

Vamos aguardar o resultado pra depois pensarmos em outra coisa que possa estar causando o problema, fique atento aos logs.

Abraços

E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Aguimar Rezende Junior Rezende
In reply to this post by Christovam Paynes Silva
Foi resolvido?

Em 14 de março de 2016 10:50:58 BRT, Christovam Paynes Silva <[hidden email]> escreveu:



Em 14 de março de 2016 10:38, Victório <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email][hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Victório.


Estava quase isso. Fiz algumas alterações no sábado, e hoje pela manhã estava listado na CBL ainda. Nos logs não consta mais os acessos da primeira mensagem, acredito que isso tenha sido resolvido.
As confs.


# Restricao durante comando HELO/EHLO
smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    reject_non_fqdn_hostname

# Restricao do cliente - Apos o aceite do HELO
smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    #reject_authenticated_sender_login_mismatch,
    #reject_unauthenticated_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,





Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Christovam Paynes Silva
Boa noite Junior.
Desculpe a demora em responder, estava correndo bastante.

Hoje pela manhã estava listado novamente. Validei novamente o Firewall, fiz outra alteração  e não encontrei nada nos logs.
Estava buscando rapidamente e alguns forum relatam a possibilidade de vírus nas estações. Poderia ser algo assim?

Segue as regras de FW.

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 9250 1388K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 9338 1124K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

   85  5064    ACCEPT     tcp  --  *      *       0.0.0.0/0            XXX.XXX.XX.X       tcp spts:1024:65535 dpt:25 
    0     0        ACCEPT     tcp  --  *      *       0.0.0.0/0            XXX.XXX.XX.X       tcp spt:25 dpts:1024:65535 

    1    32      ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
 6012  526K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast reject-with icmp-port-unreachable 
   13   839     ACCEPT     udp  --  *      *       192.168.1.0/24       0.0.0.0/0           udp dpt:53 
  191 14295 ACCEPT     udp  --  *      *       0.0.0.0/0            177.22.95.213       udp spts:1024:65535 dpt:53 
    0     0       ACCEPT     udp  --  *      *       0.0.0.0/0            177.22.95.213       udp spt:53 dpt:53 
    0     0      ACCEPT     udp  --  192.168.1.0/24 *       0.0.0.0/0            0.0.0.0/0           udp spt:67 dpt:68 
   72  3592  ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0      ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    5   260   ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2222 
    2   104    ACCEPT     tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:3128 
    8   432    ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
   20  1220  ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143 
    0     0     ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587 
    5   220    ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 
  319 19848 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `INPUT:  ' 
 


Em 16 de março de 2016 17:00, Junior Plug Tecnologia <[hidden email]> escreveu:
Foi resolvido?

Em 14 de março de 2016 10:50:58 BRT, Christovam Paynes Silva <[hidden email]> escreveu:



Em 14 de março de 2016 10:38, Victório <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email][hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Victório.


Estava quase isso. Fiz algumas alterações no sábado, e hoje pela manhã estava listado na CBL ainda. Nos logs não consta mais os acessos da primeira mensagem, acredito que isso tenha sido resolvido.
As confs.


# Restricao durante comando HELO/EHLO
smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    reject_non_fqdn_hostname

# Restricao do cliente - Apos o aceite do HELO
smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    #reject_authenticated_sender_login_mismatch,
    #reject_unauthenticated_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,





Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com SPAM

Aguimar Rezende Junior Rezende
Em 16/03/2016 23:47, Christovam Paynes Silva escreveu:
Boa noite Junior.
Desculpe a demora em responder, estava correndo bastante.

Hoje pela manhã estava listado novamente. Validei novamente o Firewall, fiz outra alteração  e não encontrei nada nos logs.
Estava buscando rapidamente e alguns forum relatam a possibilidade de vírus nas estações. Poderia ser algo assim?

   Bom dia

Pode acontecer sim, pra evitar isso feche o relay para a sua intranet pra testar.



Segue as regras de FW.

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 9250 1388K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 9338 1124K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

   85  5064    ACCEPT     tcp  --  *      *       0.0.0.0/0            XXX.XXX.XX.X       tcp spts:1024:65535 dpt:25 
    0     0        ACCEPT     tcp  --  *      *       0.0.0.0/0            XXX.XXX.XX.X       tcp spt:25 dpts:1024:65535 

    1    32      ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
 6012  526K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast reject-with icmp-port-unreachable 
   13   839     ACCEPT     udp  --  *      *       192.168.1.0/24       0.0.0.0/0           udp dpt:53 
  191 14295 ACCEPT     udp  --  *      *       0.0.0.0/0            177.22.95.213       udp spts:1024:65535 dpt:53 
    0     0       ACCEPT     udp  --  *      *       0.0.0.0/0            177.22.95.213       udp spt:53 dpt:53 
    0     0      ACCEPT     udp  --  192.168.1.0/24 *       0.0.0.0/0            0.0.0.0/0           udp spt:67 dpt:68 
   72  3592  ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0      ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    5   260   ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2222 
    2   104    ACCEPT     tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:3128 
    8   432    ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
   20  1220  ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143 
    0     0     ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587 
    5   220    ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 
  319 19848 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `INPUT:  ' 
 


Em 16 de março de 2016 17:00, Junior Plug Tecnologia <[hidden email]> escreveu:
Foi resolvido?

Em 14 de março de 2016 10:50:58 BRT, Christovam Paynes Silva <[hidden email]> escreveu:



Em 14 de março de 2016 10:38, Victório <[hidden email]> escreveu:
On 11-03-2016 18:57, Christovam Paynes Silva wrote:
Boa tarde pessoal,

Venho alguns dias sendo listado no Spamhaus CBL. Lendo o que a lista informa, diz que estou sendo listado devido a um vírus que possuo na rede, e que está enviado emails como localhost.localdomain. Não encontrei nenhum vírus nas estações ou algum trafego destinado a porta 25 que passe pelo servidor. 

Em busca de dados nos logs, encontrei uma origem, mas não a causa.  Está aparentando ser um "spammer" que tenta se conectar no meu servidor. 

Estou precisando de uma ajuda para descobrir a forma que está sendo usada e como corrigr.

Tenho esse log como rejeitado:

Mar 11 10:33:15 mailgw01 postfix/smtpd[4885]: NOQUEUE: reject: RCPT from unknown[190.167.108.170]: 450 4.7.1 <170.108.167.190.d.dyn.codetel.net.do>: Helo command rejected: Host not found; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<170.108.167.190.d.dyn.codetel.net.do>


Mar 11 10:06:12 mailgw01 postfix/smtpd[31614]: NOQUEUE: reject: RCPT from unknown[72.252.249.42]: 554 5.7.1 Service unavailable; Client host [72.252.249.42] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?72.252.249.42; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[72.252.249.42]>


Mar 11 10:06:41 mailgw01 postfix/smtpd[31634]: NOQUEUE: reject: RCPT from unknown[112.196.29.187]: 554 5.7.1 Service unavailable; Client host [112.196.29.187] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?112.196.29.187; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<[112.196.29.187]>



E tenho esse log com sucesso: Já troquei a senha, mas acontece novamente.


Mar 11 13:19:24 mailgw01 postfix/smtpd[28172]: connect from unknown[49.14.14.17]
Mar 11 13:19:25 mailgw01 imapd: Failed to connect to socket /tmp/fam--
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: warning: restriction `check_policy_service' after `permit' is ignored
Mar 11 13:19:27 mailgw01 postfix/smtpd[28172]: B49CE7F06AF: client=unknown[49.14.14.17]
Mar 11 13:19:29 mailgw01 postfix/cleanup[25479]: B49CE7F06AF: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: from=<[hidden email]>, size=5208, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/pickup[26717]: 368347F06B1: uid=130 from=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/pipe[28466]: B49CE7F06AF: to=<[hidden email]>, orig_to=<[hidden email]>, relay=filter, delay=1.8, delays=1.8/0/0/0.03, dsn=2.0.0, status=sent (delivered via filter service)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: B49CE7F06AF: removed
Mar 11 13:19:29 mailgw01 postfix/cleanup[27082]: 368347F06B1: message-id=<[hidden email]>
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: from=<[hidden email]>, size=5325, nrcpt=1 (queue active)
Mar 11 13:19:29 mailgw01 postfix/virtual[27248]: 368347F06B1: to=<[hidden email]>, relay=virtual, delay=0.07, delays=0.06/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:19:29 mailgw01 postfix/qmgr[19869]: 368347F06B1: removed
Mar 11 13:19:29 mailgw01 postfix/smtpd[28172]: disconnect from unknown[49.14.14.17]

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

Ficou a impressão que você tem um simples "permit" no seu smtpd_*_restrictions. Caso positivo, remova isso. Lá tem que ter apenas o permit_sasl_authenticated e o mynetworks, caso preciso desse último.

Se tiver dúvidas, poste as configurações do smtpd_*_restrictrions.

-- 
Victório

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




Bom dia Victório.


Estava quase isso. Fiz algumas alterações no sábado, e hoje pela manhã estava listado na CBL ainda. Nos logs não consta mais os acessos da primeira mensagem, acredito que isso tenha sido resolvido.
As confs.


# Restricao durante comando HELO/EHLO
smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    reject_non_fqdn_hostname

# Restricao do cliente - Apos o aceite do HELO
smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    #reject_authenticated_sender_login_mismatch,
    #reject_unauthenticated_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,




Postfix-br mailing list [hidden email] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
-- E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.
_______________________________________________ Postfix-br mailing list [hidden email] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br