Identificar SPAMMER

Rodrigo Gutiérrez Torres rodrigogutierreztorres en gmail.com
Mar Jul 19 11:11:02 CLT 2011


Resumí todas las respuestas que me llegaron en esta respuesta:

Respecto a si hay máquinas zombi, está claro que encontré equipos con
spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero
para reconocerlos fue por descarte: "¿qué máquinas quedaron encendidas
el fin de semana?".
Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows.
Las máquinas con IOs y Linux hasta ahora las estoy descartando.
En las estadísticas que manda el servidor a la cuenta admin, no veo que
alguno de los usuarios envíe más que antes, pero sí veo que hay gente
enviando que no pertenece a mi dominio. Llama mi atención un
"from:<>" (cuenta de envío en blanco) y un "verifibyvisa.fr".
Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi
atención que aparecen IPs asociadas a la cuenta de envío, pero no son
cuentas mías ni las direcciones corresponden a mi segmento de red.
Ese informe, me parece, se construye a partir del log del archivo
maillog, por lo que no registra quién se identificó para enviar el
correo, sino que toma lo registrado en "from" y "to" para construir esa
estadística.
Que alguien esté entrando por la interfaz web, para mi tiene sentido,
porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y
algo correos... pero el domingo no se envió nada.
De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar
bastante.
Me queda por averiguar quién se identificó para enviar el correo...
¿habrá algún lugar donde quede registrado eso?.


El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió:
> Un zombie en tu red? Un equipo envirulado...
> 
> SI tienes estadísticas de envío ve quién manda más que antes en promedio y
> ahí ataca el problema. A la cuenta admin en dominio.xx llegan esas
> estadísticas.
> 
> 2011/7/18 Rodrigo Gutiérrez Torres <rodrigogutierreztorres en gmail.com>
> 
> > Señores:
> >
> > Me he encontrado que hay correos que no son de mi dominio y que sí salen
> > por mi servidor de correos.
> > Me di cuenta al revisar los logs y estadísticas que indican que mandé
> > gran cantidad de correo a una hora donde se supone no había gente.
> > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6.
> > La red no es grande, algo así como 100 máquinas, pero no he podido
> > encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque
> > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó.
> > No creo que sea problema de relay, porque está acotado a la máquina
> > local y se necesita autenticarse para mandar correo.
> > Agradeceré si me orientan en como pillar a este individuo.
> >
> > Salu2,
> >
> >
> 
> 



Más información sobre la lista de distribución Linux