Help with Postfix - Anvil

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
15 messages Options
Reply | Threaded
Open this post in threaded view
|

Help with Postfix - Anvil

Mario Jorge Lima
Ola,

Eu tenho um Servidor Linux Centos, rodando Apache, Postfix, Dovecot, Postgrey, Spamassassin, Amavisd  e outros . Ele é basicamente um tipo de Gateway, dando saida e entrada para centenas de Contas de emails que pertencem a Dominios hospedados em outros Servidores.

Esse Servidor tem sido frequentemente cadastrado em blacklists, embora eu tome os maiores cuidados e viva pressionando meus clientes para que evitem fazer emissao de emails em massa. É claro que, eventualmente, um ou outro faz isso, ou mesmo alguns Virus fazem isso sem que eles saibam, e la vou eu novamente ser cadastrado em blacklists.

O que eu preciso é ter o meu arquivo /etc/postfix/main.cf adequadamente configurado, de modo a minimizar essas operacoes de spammers.

Sendo assim, eu gostaria de ter algo parecido com as contas do GMail, por exemplo, que so permitem o maximo de 500 emails enviados por dia, para cada Conta. Eu tentei fazer isso usando os parametros do ANVIL dentro do  /etc/postfix/main.cf. Mas até onde pude ver, ele controla isso, porem, considerando o somatorio de todas as contas debaixo de um Dominio, e nao para cada Conta de Email individualmente.
 
Alem disso, eu acho que nao entendi direito o funcionamento exato desses parametros abaixo, nao entendi suas funcoes e o relacionamento entre eles. Ate me parece que alguns tem funcoes similares.

anvil_rate_time_unit
anvil_status_update_time
smtpd_client_message_rate_limit
smtpd_recipient_limit
smtpd_recipient_overshoot_limit
smtpd_client_connection_count_limit
smtpd_client_connection_rate_limit
smtpd_client_new_tls_session_rate_limit
smtpd_client_recipient_rate_limit
and others...

Preciso de uma ajuda para configura-los corretamente e poder obter assim o maximo que eles podem me oferecer de controle. Tambem gostaria de saber se há alguma outra ferramenta que eu possa utilizar no Servidor para me ajudar a minimizar essas emissoes indesejadas de Spam emails.

Desde ja agradeco muito.

Mario Jorge Lima./
______________________________________________________________

Hi,

I have one Linux Centos Server, with Apache, Postfix, Dovecot, Postgrey, Spamassassin, Amavisd and others.  It is a kind of mail Gateway, working as ingoing and outgoing for hundreds of mail accounts that belong to Domains hosted elsewhere.

This email Server is frequently being blacklisted, although I take care of my customers and I am frequently talking to them about mass mailing problems. Of course that sometimes one of them, or more commonly, a virus getting relay passwords, does the dirty service and sends spam, and then we go again to be blacklisted.

What I need is to have my Postfix main.cf file adequately and accurately configured, so that I can minimize the spammers operations.

I would like to have something like Gmail accounts, that permits just 500 emails/day for each email account. I tried to accomplish it by using ANVIL parameters at /etc/postfix/main.cf file. But until I could see it does it for the sum of all de accounts under a Domain, and not for each account as Gmail does, I'm not shure.

Moreover, I think I didn't understand correctly as these parameters work. I have to deal with parameters like these below, but I don't know their exact functions and the relationship between them. As I saw some of them have similar functions.

anvil_rate_time_unit
anvil_status_update_time
smtpd_client_message_rate_limit
smtpd_recipient_limit
smtpd_recipient_overshoot_limit
smtpd_client_connection_count_limit
smtpd_client_connection_rate_limit
smtpd_client_new_tls_session_rate_limit
smtpd_client_recipient_rate_limit
and others...

So, I need help to configurate them correctly and get the most I can from their functions. I also would like to know if there is any other efficient tool I could use at the Server, to solve or at least minimize the problems I face.

Thanks a lot for any help.

Mario Lima./
___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Esdras La-Roque
Boa noite Mario.

Já tentou usar o policyd ? http://wiki.policyd.org/documentation

Ele controla bem essa questão que você precisa.

Fora isso, como dica, eu te diria para levantar as situações em que vocês entra em blacklist, averiguando os motivos. Por exemplo: Senhas fracas, envios em massa para caixas postais que não existem em um domínio externo, etc..
Após você chegar aos principais motivos, trabalhe em cima de um ambiente reativo. Eu aconselho o uso aprofundado do fail2ban (Não, o fail2ban não é apenas para evitar DDoS e força bruta, como muitos pensam). Você consegue elaborar regras apuradas para monitorar o comportamento de logs, identificando um padrão que dispare uma ação de bloqueio e/ou outras ações (limitação de certos usuários?).

Enfim.. deixo meus R$ 0,10 de contribuição! Abraço.

2014-11-20 11:39 GMT-03:00 Mario Jorge Lima <[hidden email]>:
Ola,

Eu tenho um Servidor Linux Centos, rodando Apache, Postfix, Dovecot, Postgrey, Spamassassin, Amavisd  e outros . Ele é basicamente um tipo de Gateway, dando saida e entrada para centenas de Contas de emails que pertencem a Dominios hospedados em outros Servidores.

Esse Servidor tem sido frequentemente cadastrado em blacklists, embora eu tome os maiores cuidados e viva pressionando meus clientes para que evitem fazer emissao de emails em massa. É claro que, eventualmente, um ou outro faz isso, ou mesmo alguns Virus fazem isso sem que eles saibam, e la vou eu novamente ser cadastrado em blacklists.

O que eu preciso é ter o meu arquivo /etc/postfix/main.cf adequadamente configurado, de modo a minimizar essas operacoes de spammers.

Sendo assim, eu gostaria de ter algo parecido com as contas do GMail, por exemplo, que so permitem o maximo de 500 emails enviados por dia, para cada Conta. Eu tentei fazer isso usando os parametros do ANVIL dentro do  /etc/postfix/main.cf. Mas até onde pude ver, ele controla isso, porem, considerando o somatorio de todas as contas debaixo de um Dominio, e nao para cada Conta de Email individualmente.
 
Alem disso, eu acho que nao entendi direito o funcionamento exato desses parametros abaixo, nao entendi suas funcoes e o relacionamento entre eles. Ate me parece que alguns tem funcoes similares.

anvil_rate_time_unit
anvil_status_update_time
smtpd_client_message_rate_limit
smtpd_recipient_limit
smtpd_recipient_overshoot_limit
smtpd_client_connection_count_limit
smtpd_client_connection_rate_limit
smtpd_client_new_tls_session_rate_limit
smtpd_client_recipient_rate_limit
and others...

Preciso de uma ajuda para configura-los corretamente e poder obter assim o maximo que eles podem me oferecer de controle. Tambem gostaria de saber se há alguma outra ferramenta que eu possa utilizar no Servidor para me ajudar a minimizar essas emissoes indesejadas de Spam emails.

Desde ja agradeco muito.

Mario Jorge Lima./
______________________________________________________________

Hi,

I have one Linux Centos Server, with Apache, Postfix, Dovecot, Postgrey, Spamassassin, Amavisd and others.  It is a kind of mail Gateway, working as ingoing and outgoing for hundreds of mail accounts that belong to Domains hosted elsewhere.

This email Server is frequently being blacklisted, although I take care of my customers and I am frequently talking to them about mass mailing problems. Of course that sometimes one of them, or more commonly, a virus getting relay passwords, does the dirty service and sends spam, and then we go again to be blacklisted.

What I need is to have my Postfix main.cf file adequately and accurately configured, so that I can minimize the spammers operations.

I would like to have something like Gmail accounts, that permits just 500 emails/day for each email account. I tried to accomplish it by using ANVIL parameters at /etc/postfix/main.cf file. But until I could see it does it for the sum of all de accounts under a Domain, and not for each account as Gmail does, I'm not shure.

Moreover, I think I didn't understand correctly as these parameters work. I have to deal with parameters like these below, but I don't know their exact functions and the relationship between them. As I saw some of them have similar functions.

anvil_rate_time_unit
anvil_status_update_time
smtpd_client_message_rate_limit
smtpd_recipient_limit
smtpd_recipient_overshoot_limit
smtpd_client_connection_count_limit
smtpd_client_connection_rate_limit
smtpd_client_new_tls_session_rate_limit
smtpd_client_recipient_rate_limit
and others...

So, I need help to configurate them correctly and get the most I can from their functions. I also would like to know if there is any other efficient tool I could use at the Server, to solve or at least minimize the problems I face.

Thanks a lot for any help.

Mario Lima./
___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




--
Esdras La-Roque
Analista e Desenvolvedor de Sistemas

LPI-1 | Linux Professional Institute - Nível 1
MCITP | Microsoft Virtualization Administrator
NCLA | Novell Certified Linux Administrator
DCTS | Data Center Technical Specialist

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Mario Jorge Lima
Ola, Esdras,

Vou ver esse Policyd. Obrigado pelo seu interesse em me ajudar.

O que tenho percebido, pelos nossos maillogs, é que ha uma grande ocorrencia em alguns momentos (principalmente durante a noite e madrugada) de emails enviados a partir de enderecos malucos, do tipo [hidden email], [hidden email], etc. E os enderecos de IPs tambem sao estranhos, a maioria nao tem reverso, ou seja, sao IPs espalhados pelo mundo, provavelmente de acessos os mais diversos.

Nao entendo como esse pessoal consegue mandar pelo meu Servidor, ja que nao tenho Open Relay. A unica coisa que me vem à mente é que eles, de alguma forma, obtiveram / roubaram senhas de autenticacao (SMTP) de clientes nossos.

Minha tentativa, pelo uso do Anvil seria limitar esses envios, para que esses programas de spammers tivessem dificuldade de enviar pelo meu servidor com uma incidencia tao grande.

Mario./



At 22:36 20/11/2014, you wrote:
Boa noite Mario.

Já tentou usar o policyd ? http://wiki.policyd.org/documentation

Ele controla bem essa questão que você precisa.

Fora isso, como dica, eu te diria para levantar as situações em que vocês entra em blacklist, averiguando os motivos. Por exemplo: Senhas fracas, envios em massa para caixas postais que não existem em um domínio externo, etc..
Após você chegar aos principais motivos, trabalhe em cima de um ambiente reativo. Eu aconselho o uso aprofundado do fail2ban (Não, o fail2ban não é apenas para evitar DDoS e força bruta, como muitos pensam). Você consegue elaborar regras apuradas para monitorar o comportamento de logs, identificando um padrão que dispare uma ação de bloqueio e/ou outras ações (limitação de certos usuários?).

Enfim.. deixo meus R$ 0,10 de contribuição! Abraço.

2014-11-20 11:39 GMT-03:00 Mario Jorge Lima <[hidden email]>:
Ola,

Eu tenho um Servidor Linux Centos, rodando Apache, Postfix, Dovecot, Postgrey, Spamassassin, Amavisd  e outros . Ele é basicamente um tipo de Gateway, dando saida e entrada para centenas de Contas de emails que pertencem a Dominios hospedados em outros Servidores.

Esse Servidor tem sido frequentemente cadastrado em blacklists, embora eu tome os maiores cuidados e viva pressionando meus clientes para que evitem fazer emissao de emails em massa. É claro que, eventualmente, um ou outro faz isso, ou mesmo alguns Virus fazem isso sem que eles saibam, e la vou eu novamente ser cadastrado em blacklists.

O que eu preciso é ter o meu arquivo /etc/postfix/main.cf adequadamente configurado, de modo a minimizar essas operacoes de spammers.

Sendo assim, eu gostaria de ter algo parecido com as contas do GMail, por exemplo, que so permitem o maximo de 500 emails enviados por dia, para cada Conta. Eu tentei fazer isso usando os parametros do ANVIL dentro do  /etc/postfix/main.cf. Mas até onde pude ver, ele controla isso, porem, considerando o somatorio de todas as contas debaixo de um Dominio, e nao para cada Conta de Email individualmente.
Â
Alem disso, eu acho que nao entendi direito o funcionamento exato desses parametros abaixo, nao entendi suas funcoes e o relacionamento entre eles. Ate me parece que alguns tem funcoes similares.

anvil_rate_time_unit
anvil_status_update_time
smtpd_client_message_rate_limit
smtpd_recipient_limit
smtpd_recipient_overshoot_limit
smtpd_client_connection_count_limit
smtpd_client_connection_rate_limit
smtpd_client_new_tls_session_rate_limit
smtpd_client_recipient_rate_limit
and others...

Preciso de uma ajuda para configura-los corretamente e poder obter assim o maximo que eles podem me oferecer de controle. Tambem gostaria de saber se há alguma outra ferramenta que eu possa utilizar no Servidor para me ajudar a minimizar essas emissoes indesejadas de Spam emails.

Desde ja agradeco muito.

Mario Jorge Lima./
______________________________________________________________

Hi,

I have one Linux Centos Server, with Apache, Postfix, Dovecot, Postgrey, Spamassassin, Amavisd and others.  It is a kind of mail Gateway, working as ingoing and outgoing for hundreds of mail accounts that belong to Domains hosted elsewhere.

This email Server is frequently being blacklisted, although I take care of my customers and I am frequently talking to them about mass mailing problems. Of course that sometimes one of them, or more commonly, a virus getting relay passwords, does the dirty service and sends spam, and then we go again to be blacklisted.

What I need is to have my Postfix main.cf file adequately and accurately configured, so that I can minimize the spammers operations.

I would like to have something like Gmail accounts, that permits just 500 emails/day for each email account. I tried to accomplish it by using ANVIL parameters at /etc/postfix/main.cf file. But until I could see it does it for the sum of all de accounts under a Domain, and not for each account as Gmail does, I'm not shure.

Moreover, I think I didn't understand correctly as these parameters work. I have to deal with parameters like these below, but I don't know their exact functions and the relationship between them. As I saw some of them have similar functions.

anvil_rate_time_unit
anvil_status_update_time
smtpd_client_message_rate_limit
smtpd_recipient_limit
smtpd_recipient_overshoot_limit
smtpd_client_connection_count_limit
smtpd_client_connection_rate_limit
smtpd_client_new_tls_session_rate_limit
smtpd_client_recipient_rate_limit
and others...

So, I need help to configurate them correctly and get the most I can from their functions. I also would like to know if there is any other efficient tool I could use at the Server, to solve or at least minimize the problems I face.

Thanks a lot for any help.

Mario Lima./
___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




--
Esdras La-Roque
Analista e Desenvolvedor de Sistemas

LPI-1 | Linux Professional Institute - Nível 1
MCITP | Microsoft Virtualization Administrator
NCLA | Novell Certified Linux Administrator
DCTS | Data Center Technical Specialist
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Márcio Merlone
On 21-11-2014 09:15, Mario Jorge Lima wrote:
O que tenho percebido, pelos nossos maillogs, é que ha uma grande ocorrencia em alguns momentos (principalmente durante a noite e madrugada) de emails enviados a partir de enderecos malucos, do tipo [hidden email], [hidden email], etc. E os enderecos de IPs tambem sao estranhos, a maioria nao tem reverso, ou seja, sao IPs espalhados pelo mundo, provavelmente de acessos os mais diversos.

Nao entendo como esse pessoal consegue mandar pelo meu Servidor, ja que nao tenho Open Relay. A unica coisa que me vem à mente é que eles, de alguma forma, obtiveram / roubaram senhas de autenticacao (SMTP) de clientes nossos.
Eu acho que você tem open relay sim. Pode informar qual é seu servidor pra teste?

A informação de autenticação do smtp deveria ir para os logs, assim você tem como saber qual conta foi comprometida e tomar as providências. O que não pode de maneira nenhuma é não entender como alguém conseguiu enviar emails por seu servidor. Desa forma você é um open relay em potencial no mínimo.

Minha tentativa, pelo uso do Anvil seria limitar esses envios, para que esses programas de spammers tivessem dificuldade de enviar pelo meu servidor com uma incidencia tao grande.
Dê umolhada nisso e implemente caso ainda não esteja assim:
http://antispam.br/admin/conf-servicos/correio/

Veja especialmente os itens 3 e 4. Em resumo:

Porta 25:
Apenas para conversação entre servidores, é onde o MX vai receber as mensagens destinadas somente aos domínios ao qual ele é responsável e mais nada. Faz verificação anti-spam, anti-virus, etc. Recusa qualquer mensagem para domínios para os quais ele não seja o MX ou relay configurado.

Porta 587:
Chamada "submission", aceita apenas smtp autenticado, para uso pelos clientes de email (MUA) e eventualmente mynetworks. Mais nada.

Então antes de qualquer coisa implemente este gerenciamento de porta 25 acima, faça a autenticação de smtp ir para os logs, e então você terá como entender o que acontece para definir que medidas tomar. Tratar casos pontuais antes disto é correr atrás do rabo

Às ordens.

--
Marcio Merlone

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Mario Jorge Lima
Ola, Marcio:

Nao tenho OPEN RELAY, meu Servidor é o 206.225.87.150, pode verificar.

Ja uso a Porta 587, apenas ainda nao fechei a porta 25, o que estarei fazendo nesse final de semana.

Mario./



At 09:56 21/11/2014, you wrote:
On 21-11-2014 09:15, Mario Jorge Lima wrote:
O que tenho percebido, pelos nossos maillogs, é que ha uma grande ocorrencia em alguns momentos (principalmente durante a noite e madrugada) de emails enviados a partir de enderecos malucos, do tipo [hidden email], [hidden email], etc. E os enderecos de IPs tambem sao estranhos, a maioria nao tem reverso, ou seja, sao IPs espalhados pelo mundo, provavelmente de acessos os mais diversos.

Nao entendo como esse pessoal consegue mandar pelo meu Servidor, ja que nao tenho Open Relay. A unica coisa que me vem à mente é que eles, de alguma forma, obtiveram / roubaram senhas de autenticacao (SMTP) de clientes nossos.
Eu acho que você tem open relay sim. Pode informar qual é seu servidor pra teste?

A informação de autenticação do smtp deveria ir para os logs, assim você tem como saber qual conta foi comprometida e tomar as providências. O que não pode de maneira nenhuma é não entender como alguém conseguiu enviar emails por seu servidor. Desa forma você é um open relay em potencial no mínimo.

Minha tentativa, pelo uso do Anvil seria limitar esses envios, para que esses programas de spammers tivessem dificuldade de enviar pelo meu servidor com uma incidencia tao grande.
Dê umolhada nisso e implemente caso ainda não esteja assim:
http://antispam.br/admin/conf-servicos/correio/

Veja especialmente os itens 3 e 4. Em resumo:

Porta 25:
Apenas para conversação entre servidores, é onde o MX vai receber as mensagens destinadas somente aos domínios ao qual ele é responsável e mais nada. Faz verificação anti-spam, anti-virus, etc. Recusa qualquer mensagem para domínios para os quais ele não seja o MX ou relay configurado.

Porta 587:
Chamada "submission", aceita apenas smtp autenticado, para uso pelos clientes de email (MUA) e eventualmente mynetworks. Mais nada.

Então antes de qualquer coisa implemente este gerenciamento de porta 25 acima, faça a autenticação de smtp ir para os logs, e então você terá como entender o que acontece para definir que medidas tomar. Tratar casos pontuais antes disto é correr atrás do rabo

Às ordens.

--
Marcio Merlone
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Esdras La-Roque
Mario,

Se você tem autenticação sendo logada no seus logs do SMTP, podes implantar um monitoramento no log para checar usuários que estejam enviando e-mails com o "mail from" com outra identificação, que não a que foi autenticada, e tomar uma ação nesta conta.

Isso já te livraria das blacklists.

Em 21 de novembro de 2014 09:49, Mario Jorge Lima <[hidden email]> escreveu:
Ola, Marcio:

Nao tenho OPEN RELAY, meu Servidor é o 206.225.87.150, pode verificar.

Ja uso a Porta 587, apenas ainda nao fechei a porta 25, o que estarei fazendo nesse final de semana.

Mario./




At 09:56 21/11/2014, you wrote:
On 21-11-2014 09:15, Mario Jorge Lima wrote:
O que tenho percebido, pelos nossos maillogs, é que ha uma grande ocorrencia em alguns momentos (principalmente durante a noite e madrugada) de emails enviados a partir de enderecos malucos, do tipo [hidden email], [hidden email], etc. E os enderecos de IPs tambem sao estranhos, a maioria nao tem reverso, ou seja, sao IPs espalhados pelo mundo, provavelmente de acessos os mais diversos.

Nao entendo como esse pessoal consegue mandar pelo meu Servidor, ja que nao tenho Open Relay. A unica coisa que me vem à mente é que eles, de alguma forma, obtiveram / roubaram senhas de autenticacao (SMTP) de clientes nossos.
Eu acho que você tem open relay sim. Pode informar qual é seu servidor pra teste?

A informação de autenticação do smtp deveria ir para os logs, assim você tem como saber qual conta foi comprometida e tomar as providências. O que não pode de maneira nenhuma é não entender como alguém conseguiu enviar emails por seu servidor. Desa forma você é um open relay em potencial no mínimo.

Minha tentativa, pelo uso do Anvil seria limitar esses envios, para que esses programas de spammers tivessem dificuldade de enviar pelo meu servidor com uma incidencia tao grande.
Dê umolhada nisso e implemente caso ainda não esteja assim:
http://antispam.br/admin/conf-servicos/correio/

Veja especialmente os itens 3 e 4. Em resumo:

Porta 25:
Apenas para conversação entre servidores, é onde o MX vai receber as mensagens destinadas somente aos domínios ao qual ele é responsável e mais nada. Faz verificação anti-spam, anti-virus, etc. Recusa qualquer mensagem para domínios para os quais ele não seja o MX ou relay configurado.

Porta 587:
Chamada "submission", aceita apenas smtp autenticado, para uso pelos clientes de email (MUA) e eventualmente mynetworks. Mais nada.

Então antes de qualquer coisa implemente este gerenciamento de porta 25 acima, faça a autenticação de smtp ir para os logs, e então você terá como entender o que acontece para definir que medidas tomar. Tratar casos pontuais antes disto é correr atrás do rabo

Às ordens.

--
Marcio Merlone
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




--
Esdras La-Roque
Analista e Desenvolvedor de Sistemas

LPI-1 | Linux Professional Institute - Nível 1
MCITP | Microsoft Virtualization Administrator
NCLA | Novell Certified Linux Administrator
DCTS | Data Center Technical Specialist

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Mario Jorge Lima
Esdras,

Essa é uma otima ideia. Mas, isso é dificil. Visualmente olhando o maillog pode-se pegar algumas coisas, mas automatizar isso num Script para examinar milhoes de linhas desse arquivo é dificil.

Veja, no maillog tem o "from" referente aos emails que meu cliente está mandando, mas tem tambem o "from" referente aos emails que ele está recebendo. O primeiro problema é como diferençar um do outro. E o segundo é que eu teria que bater isso contra uma  base de dados que tivesse os nomes de todos os Usuarios de Conta válidos para aquele servidor

O que acha, é isso mesmo?

Mario./



At 11:43 21/11/2014, you wrote:
Mario,

Se você tem autenticação sendo logada no seus logs do SMTP, podes implantar um monitoramento no log para checar usuários que estejam enviando e-mails com o "mail from" com outra identificação, que não a que foi autenticada, e tomar uma ação nesta conta.

Isso já te livraria das blacklists.

Em 21 de novembro de 2014 09:49, Mario Jorge Lima <[hidden email]> escreveu:
Ola, Marcio:

Nao tenho OPEN RELAY, meu Servidor é o 206.225.87.150, pode verificar.

Ja uso a Porta 587, apenas ainda nao fechei a porta 25, o que estarei fazendo nesse final de semana.

Mario./




At 09:56 21/11/2014, you wrote:
On 21-11-2014 09:15, Mario Jorge Lima wrote:
O que tenho percebido, pelos nossos maillogs, é que ha uma grande ocorrencia em alguns momentos (principalmente durante a noite e madrugada) de emails enviados a partir de enderecos malucos, do tipo [hidden email], [hidden email], etc. E os enderecos de IPs tambem sao estranhos, a maioria nao tem reverso, ou seja, sao IPs espalhados pelo mundo, provavelmente de acessos os mais diversos.

Nao entendo como esse pessoal consegue mandar pelo meu Servidor, ja que nao tenho Open Relay. A unica coisa que me vem à mente é que eles, de alguma forma, obtiveram / roubaram senhas de autenticacao (SMTP) de clientes nossos.
Eu acho que você tem open relay sim. Pode informar qual é seu servidor pra teste?

A informação de autenticação do smtp deveria ir para os logs, assim você tem como saber qual conta foi comprometida e tomar as providências. O que não pode de maneira nenhuma é não entender como alguém conseguiu enviar emails por seu servidor. Desa forma você é um open relay em potencial no mínimo.

Minha tentativa, pelo uso do Anvil seria limitar esses envios, para que esses programas de spammers tivessem dificuldade de enviar pelo meu servidor com uma incidencia tao grande.
Dê umolhada nisso e implemente caso ainda não esteja assim:
http://antispam.br/admin/conf-servicos/correio/

Veja especialmente os itens 3 e 4. Em resumo:

Porta 25:
Apenas para conversação entre servidores, é onde o MX vai receber as mensagens destinadas somente aos domínios ao qual ele é responsável e mais nada. Faz verificação anti-spam, anti-virus, etc. Recusa qualquer mensagem para domínios para os quais ele não seja o MX ou relay configurado.

Porta 587:
Chamada "submission", aceita apenas smtp autenticado, para uso pelos clientes de email (MUA) e eventualmente mynetworks. Mais nada.

Então antes de qualquer coisa implemente este gerenciamento de porta 25 acima, faça a autenticação de smtp ir para os logs, e então você terá como entender o que acontece para definir que medidas tomar. Tratar casos pontuais antes disto é correr atrás do rabo

Às ordens.

--
Marcio Merlone
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




--
Esdras La-Roque
Analista e Desenvolvedor de Sistemas

LPI-1 | Linux Professional Institute - Nível 1
MCITP | Microsoft Virtualization Administrator
NCLA | Novell Certified Linux Administrator
DCTS | Data Center Technical Specialist
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Márcio Merlone
On 21-11-2014 13:07, Mario Jorge Lima wrote:
Essa é uma otima ideia. Mas, isso é dificil. Visualmente olhando o maillog pode-se pegar algumas coisas, mas automatizar isso num Script para examinar milhoes de linhas desse arquivo é dificil.

Veja, no maillog tem o "from" referente aos emails que meu cliente está mandando, mas tem tambem o "from" referente aos emails que ele está recebendo. O primeiro problema é como diferençar um do outro. E o segundo é que eu teria que bater isso contra uma  base de dados que tivesse os nomes de todos os Usuarios de Conta válidos para aquele servidor
Dá pra fazer no postfix usando smtpd_sender_login_maps, onde você atrela os endereços de e-mail que uma determinado login pode usar.

--
Marcio Merlone

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Julio Cesar Covolato
Já passei por isso várias vezes, senhas muito fáceis e os spamer fazem a festa...

escrevi esse script para bloquear:
http://www.psi.com.br/~julio/postfix/sasl-killer.sh
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: 55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 21/11/2014 13:34, Márcio Merlone escreveu:
On 21-11-2014 13:07, Mario Jorge Lima wrote:
Essa é uma otima ideia. Mas, isso é dificil. Visualmente olhando o maillog pode-se pegar algumas coisas, mas automatizar isso num Script para examinar milhoes de linhas desse arquivo é dificil.

Veja, no maillog tem o "from" referente aos emails que meu cliente está mandando, mas tem tambem o "from" referente aos emails que ele está recebendo. O primeiro problema é como diferençar um do outro. E o segundo é que eu teria que bater isso contra uma  base de dados que tivesse os nomes de todos os Usuarios de Conta válidos para aquele servidor
Dá pra fazer no postfix usando smtpd_sender_login_maps, onde você atrela os endereços de e-mail que uma determinado login pode usar.

--
Marcio Merlone


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Mario Jorge Lima
In reply to this post by Márcio Merlone
Ola, Marcio,

Veja, eu nao sou tecnico, entao nem sempre consigo absorver o entendimento desses itens. Nao entendi direito como isso pode me ajudar, gostaria que voce me desse um exemplo, uma ajuda, e que acoes seriam tomadas no caso dessa verificacao.

Por exemplo, no meu Servidor, o meu Email "[hidden email]" tem como Usuario de Login "multi-mariolima". O usuario "[hidden email]" tem como Usuario de Login "multisites", e assim por diante. O que eu deveria fazer, seria, por exemplo, colocar nesse parametro do /etc/postfix/main.cf praticamente toda a minha tabela de usuarios "/etc/postfix/virtual" ? Isso faria com que, cada email que fosse enviado usando o SMTP nesse meu Servidor seria varrido contra essa tabela e caso nao houvesse informacao dele ali, nao enviaria? O que acontece entao?

Se for isso, nao vai afetar a performance do Servidor?

Desculpe essas perguntas todas. Obrigado pela ajuda.

Mario./




At 13:34 21/11/2014, you wrote:
On 21-11-2014 13:07, Mario Jorge Lima wrote:
Essa é uma otima ideia. Mas, isso é dificil. Visualmente olhando o maillog pode-se pegar algumas coisas, mas automatizar isso num Script para examinar milhoes de linhas desse arquivo é dificil.

Veja, no maillog tem o "from" referente aos emails que meu cliente está mandando, mas tem tambem o "from" referente aos emails que ele está recebendo. O primeiro problema é como diferençar um do outro. E o segundo é que eu teria que bater isso contra uma  base de dados que tivesse os nomes de todos os Usuarios de Conta válidos para aquele servidor
Dá pra fazer no postfix usando smtpd_sender_login_maps, onde você atrela os endereços de e-mail que uma determinado login pode usar.

--
Marcio Merlone
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Mario Jorge Lima
In reply to this post by Julio Cesar Covolato
Ola, Julio,

Nao sou expert em programacao de Scripts, assim, nao consegui "ler" o que faz o seu Script. Descreva pra mim a ideia dele, o que ele efetivamente faz quando é executado, e quando eu devo executa-lo.

Obrigado.

Mario./


At 13:56 21/11/2014, you wrote:
Já passei por isso várias vezes, senhas muito fáceis e os spamer fazem a festa...
á passei por isso várias vezes, senhas muito fáceis e os spamer fazem a festa...

escrevi esse script para bloquear:
http://www.psi.com.br/~julio/postfix/sasl-killer.sh

-----------------------------
    _    Engº Julio Cesar Covolato
   0v0  
[hidden email]
  /(_)\  F: 55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 21/11/2014 13:34, Márcio Merlone escreveu:
On 21-11-2014 13:07, Mario Jorge Lima wrote:
Essa é uma otima ideia. Mas, isso é dificil. Visualmente olhando o maillog pode-se pegar algumas coisas, mas automatizar isso num Script para examinar milhoes de linhas desse arquivo é dificil.

Veja, no maillog tem o "from" referente aos emails que meu cliente está mandando, mas tem tambem o "from" referente aos emails que ele está recebendo. O primeiro problema é como diferençar um do outro. E o segundo é que eu teria que bater isso contra uma  base de dados que tivesse os nomes de todos os Usuarios de Conta válidos para aquele servidor
Dá pra fazer no postfix usando smtpd_sender_login_maps, onde você atrela os endereços de e-mail que uma determinado login pode usar.

--
Marcio Merlone



_______________________________________________
Postfix-br mailing list
[hidden email]

http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Márcio Merlone
In reply to this post by Mario Jorge Lima
On 21-11-2014 15:45, Mario Jorge Lima wrote:
Por exemplo, no meu Servidor, o meu Email [hidden email] tem como Usuario de Login "multi-mariolima". O usuario [hidden email] tem como Usuario de Login "multisites", e assim por diante.
Estes endereços x usuários devem estar em alguma base de dados, mesmo que em arquivos texto, mas provavelmente em MySQL ou LDAP, certo?

O que eu deveria fazer, seria, por exemplo, colocar nesse parametro do /etc/postfix/main.cf praticamente toda a minha tabela de usuarios "/etc/postfix/virtual" ?
Meu caso: Tenho os usuários em LDAP, onde o login for 'nome.sobrenome' o endereço é sempre '[hidden email]'. Neste caso fica bem simples:

main.cf:
smtpd_sender_login_maps = regexp:/etc/postfix/sender_maps.regexp, <a class="moz-txt-link-freetext" href="ldap:/etc/postfix/ldapowner.cf">ldap:/etc/postfix/ldapowner.cf

sender_maps.regexp:
/(.*)@a1.ind.br/                        ${1}

Só isto basta pro fulano.beltrano não enviar e-mail com from: [hidden email] por exemplo.

No teu caso vai precisar algo mais, no meu exemplo acima é o <a class="moz-txt-link-freetext" href="ldap:/etc/postfix/ldapowner.cf">ldap:/etc/postfix/ldapowner.cf:
server_host                                     = <a class="moz-txt-link-freetext" href="ldap://127.0.0.1">ldap://127.0.0.1
search_base                                     = ou=People,dc=org
query_filter                            = (&(mail=%s)(objectclass=mailUser))
result_attribute                        = uid

Em meu caso, além de [hidden email] alguns usuários também podem enviar em nome de outros endereços, como o [hidden email], cuja solução é igual à que você precisa. Com o ldapowner acima, quando alguém tentar enviar um email com remetente [hidden email] o postfix consulta no LDAP quais os uid's de usuário têm o endereço de e-mail [hidden email]. Se o(s) uid(s) for(em) diferente do autenticado ele recusa a mensagem. Posso ter um ou mais logins autorizados para o endereço [hidden email]. Só tem que adaptar o conceito pra base que você usa.

Isso faria com que, cada email que fosse enviado usando o SMTP nesse meu Servidor seria varrido contra essa tabela e caso nao houvesse informacao dele ali, nao enviaria? O que acontece entao?
Dito acima.

Exemplo de log do postfix, que achei por ai na internet:

Oct 17 09:21:40 debian postfix/smtpd[1643]: NOQUEUE: reject: RCPT from
unknown[x.x.x.x]: 553 5.7.1 [hidden email]: *Sender address rejected:
not owned by user [hidden email]; from=[hidden email]
to=[hidden email] proto=ESMTP helo=<[192.168.1.5]>

Se for isso, nao vai afetar a performance do Servidor?
Como o recurso é nativo do postfix é desprezível. Obviamente é ciclo de cpu a mais que vai usar, mas não chega a coçar. Também considere que com isso você vai economizar outros ciclos de cpu deixando de receber e tratar mensagens indevidas.

Desculpe essas perguntas todas. Obrigado pela ajuda.
Minha magnânimidade só não é maior que minha humildade, que é a maior do mundo, portanto eu te perdôo (não tem o quê). Espero ter ajudado.

Bom fim de semana a todos.

--
Marcio Merlone

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Mario Jorge Lima
Marcio,

Acabei de verificar com o pessoal do meu Provedor, e eles me disseram que meu "/etc/main.cf" já tem esse parametro configurado da seguinte forma:

smtpd_sender_login_maps = hash:/etc/postfix/virtual

E esse meu arquivo "/etc/postfix/virtual" é exatamente a minha virtual user table, tem o seguinte formato:

empresaabc.com.br virtual
[hidden email] abc-ana
[hidden email]  abc-gilson
[hidden email]  abc-eduarda
[hidden email]  abc-chiara

panificadoraxyz.com.br virtual
[hidden email]  xyz-patricia
[hidden email]  xyz-ricardo
[hidden email]  xyz-atendimento

E assim por diante...

Duvida 1) Por que entao eu tenho tantos envios com [hidden email] ou [hidden email] ?

Duvida 2) Por que tambem eu tenho envios como [hidden email], [hidden email], [hidden email], etc. ?

Sao duas duvidas que nao consigo esclarecer.

Obrigado.

Mario./




At 17:02 21/11/2014, you wrote:
On 21-11-2014 15:45, Mario Jorge Lima wrote:
Por exemplo, no meu Servidor, o meu Email [hidden email] tem como Usuario de Login "multi-mariolima". O usuario [hidden email] tem como Usuario de Login "multisites", e assim por diante.
Estes endereços x usuários devem estar em alguma base de dados, mesmo que em arquivos texto, mas provavelmente em MySQL ou LDAP, certo?

O que eu deveria fazer, seria, por exemplo, colocar nesse parametro do /etc/postfix/main.cf praticamente toda a minha tabela de usuarios "/etc/postfix/virtual" ?
Meu caso: Tenho os usuários em LDAP, onde o login for 'nome.sobrenome' o endereço é sempre '[hidden email]'. Neste caso fica bem simples:

main.cf:
smtpd_sender_login_maps = regexp:/etc/postfix/sender_maps.regexp, <a href="ldap:/etc/postfix/ldapowner.cf"> ldap:/etc/postfix/ldapowner.cf

sender_maps.regexp:
/(.*)@a1.ind.br/                        ${1}

Só isto basta pro fulano.beltrano não enviar e-mail com from: [hidden email] por exemplo.

No teu caso vai precisar algo mais, no meu exemplo acima é o <a href="ldap:/etc/postfix/ldapowner.cf"> ldap:/etc/postfix/ldapowner.cf:
server_host                                     = <a href="ldap://127.0.0.1">ldap://127.0.0.1
search_base                                     = ou=People,dc=org
query_filter                            = (&(mail=%s)(objectclass=mailUser))
result_attribute                        = uid

Em meu caso, além de [hidden email] alguns usuários também podem enviar em nome de outros endereços, como o [hidden email], cuja solução é igual à que você precisa. Com o ldapowner acima, quando alguém tentar enviar um email com remetente [hidden email] o postfix consulta no LDAP quais os uid's de usuário têm o endereço de e-mail [hidden email]. Se o(s) uid(s) for(em) diferente do autenticado ele recusa a mensagem. Posso ter um ou mais logins autorizados para o endereço [hidden email]. Só tem que adaptar o conceito pra base que você usa.

Isso faria com que, cada email que fosse enviado usando o SMTP nesse meu Servidor seria varrido contra essa tabela e caso nao houvesse informacao dele ali, nao enviaria? O que acontece entao?
Dito acima.

Exemplo de log do postfix, que achei por ai na internet:

Oct 17 09:21:40 debian postfix/smtpd[1643]: NOQUEUE: reject: RCPT from
unknown[x.x.x.x]: 553 5.7.1 [hidden email]: *Sender address rejected:
not owned by user [hidden email]; from=[hidden email]
to=[hidden email] proto=ESMTP helo=<[192.168.1.5]>

Se for isso, nao vai afetar a performance do Servidor?
Como o recurso é nativo do postfix é desprezível. Obviamente é ciclo de cpu a mais que vai usar, mas não chega a coçar. Também considere que com isso você vai economizar outros ciclos de cpu deixando de receber e tratar mensagens indevidas.

Desculpe essas perguntas todas. Obrigado pela ajuda.
Minha magnânimidade só não é maior que minha humildade, que é a maior do mundo, portanto eu te perdôo (não tem o quê). Espero ter ajudado.

Bom fim de semana a todos.

--
Marcio Merlone
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

___________________________
Mario Jorge Lima
[hidden email]
OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar bugs na recepcao dos emails.

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Márcio Merlone
Bom dia,

Comentários inline abaixo.

On 21-11-2014 18:42, Mario Jorge Lima wrote:
Acabei de verificar com o pessoal do meu Provedor, e eles me disseram que meu "/etc/main.cf" já tem esse parametro configurado da seguinte forma:
smtpd_sender_login_maps = hash:/etc/postfix/virtual
E esse meu arquivo "/etc/postfix/virtual" é exatamente a minha virtual user table, tem o seguinte formato:
(...)
[hidden email]  xyz-atendimento

Duvida 1) Por que entao eu tenho tantos envios com [hidden email] ou [hidden email] ?
Você tem como postar a saída do comando postconf -n e um trecho do log onde aparece o envio de [hidden email]?

Duvida 2) Por que tambem eu tenho envios como [hidden email], [hidden email], [hidden email], etc. ?
Idem.


--
Marcio Merlone

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Help with Postfix - Anvil

Kleber Rodrigues

Acredito que estao autenticando  com algum usuario de seu servidor.

Verifique no log de envio.

Atenciosamente,

Kleber Rodrigues

Em 24/11/2014 08:13, "Márcio Merlone" <[hidden email]> escreveu:
Bom dia,

Comentários inline abaixo.

On 21-11-2014 18:42, Mario Jorge Lima wrote:
Acabei de verificar com o pessoal do meu Provedor, e eles me disseram que meu "/etc/main.cf" já tem esse parametro configurado da seguinte forma:
smtpd_sender_login_maps = hash:/etc/postfix/virtual
E esse meu arquivo "/etc/postfix/virtual" é exatamente a minha virtual user table, tem o seguinte formato:
(...)
[hidden email]  xyz-atendimento

Duvida 1) Por que entao eu tenho tantos envios com [hidden email] ou [hidden email] ?
Você tem como postar a saída do comando postconf -n e um trecho do log onde aparece o envio de [hidden email]?

Duvida 2) Por que tambem eu tenho envios como [hidden email], [hidden email], [hidden email], etc. ?
Idem.


--
Marcio Merlone

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br