Considered UNSOLICITED BULK EMAIL from you

Horst H. von Brand vonbrand en inf.utfsm.cl
Mar Oct 3 22:10:15 CLT 2006 

Pedro Iuvara <piuvara en spilchile.cl> wrote:
> Resulta que tengo un servidor de correos donde se manejan alrededor de
> 15 cuentas de correos de tres dominios diferentes. Desde hace un mes
> mas o menos, que estamos recibiendo en 2 cuentas el encabezado de la
> referencia.

Eso quiere decir que o se esta enviando spam desde esas cuentas o (mas
probable) que aparezcan como origen falsificado de basura de este tipo.

>             Después de averiguar en san google, pudimos darnos cuenta
> de que al parecer estarían tratando de usar nuestro servidor para
> enviar spam. Lo que no hemos podido averiguar es como poder parar
> esto. Si a alguno de Uds. le pasó esto y sabe como detenerlo, le
> aceptaríamos gustosos la ayudita. Les entrego algunos antecedentes:
> 
> Servidor con Mandriva 2005 y postfix

Todo al dia, rigurosamente?!

> La configuración del servidor de correos la realizó una persona que no es
> ubicable.  El servidor además hace las veces de router y en ocasiones los
> usuarios se quejan de que Internet se pone muy lenta (Linea de 2MB baja a
> 200 Kbps). Puede ser debido a esto?

Puede ser que te esten (ab)usando para distribuir barura, y eso seria el
resultado. Curioso que no notes otros efectos (estar en toda clase de
listas negras, ...), aunque eso es otro tema. Revisa p.ej. en Spamcop o
Spamhaus (no se los .xxx de memoria, sorry) si apareces por alli...

No me manejo para nada con Postfix, pero debiera haber manera de ver la
cola de mensajes por entregar. Si es inmensa...

Puedes usar tcpdump(8)/wireshark(8) (ex-ethereal) para ver trafico, y saber
si hay mucho trafico SMTP (para mayor efecto, en otra maquina en el camino
a la salida a Internet).

Pueden haberte craqueado la maquina, y haberte instalado alguna cochinada
que genera/envia spam por si misma. Aplica alguna de las cosas que buscan
rootkits, revisa si hay procesos anormales, ...


Consigue a alguien que /sepa/ del tema y que te instala y configure la cosa
como corresponde. Probablemente pase por reinstalar de cero...
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513

Más información sobre la lista de distribución Linux