Estoy operando un VPS de Ubuntu que usa postfix para enviar correo saliente. Tengo varias direcciones de correo electrónico adjuntas al dominio que alojaba en el VPS, una de ellas dice[correo electrónico protegido]. El propietario de esta dirección de correo electrónico tiene dos computadoras personales y nada más y hasta ahora ha estado usando Thunderbird para acceder a la dirección de correo electrónico.
Hace un par de días el inbox para[correo electrónico protegido]comenzó a recibir cientos y cientos de rebotes por hora, el dueño de[correo electrónico protegido]Ayer eliminó sus entradas de Thunderbird para esas cuentas de correo electrónico sin éxito.
Ambas computadoras se apagaron anoche pero la dirección aún recibía rebotes. Inicialmente pensé que debido a que ninguna de las computadoras que tenía la cuenta estaba encendida, esto podría ser spam de recuperación. Sin embargo, al examinar más de cerca el correo electrónico, puedo ver que algunos de ellos contienen líneas como:
<[email protected]>: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error -
Blocked for abuse. See http://att.net/blocks
Donde XX.XX.XX.XX es la dirección IP de nuestra VPN. Esto me hace pensar que hay algún problema con el servidor Postfix (y muy probablemente también una infección en las computadoras). Un clamscan completo produjo lo siguiente:
/var/qmail/mailnames/DOMAIN.COM/USER/Maildir/.Spam/cur/1366042516.M831269P7021V0000000000000025I0000000003C08ED0.VPS-DOMAIN.COM,S=152011:2,: Email.Trojan-432 FOUND
/usr/share/MailScanner/MailScanner/MessageBatch.pm: Eicar-Test-Signature-1 FOUND
¿Alguna idea de cómo puedo localizar el problema/resolverlo?
Gracias.
Respuesta1
Los correos electrónicos "rebotados" a veces son parte de un ataque de spam, aunque dudo que este sea el caso en su caso.
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse.
Esto me lleva a creer que la IP de su servidor está en una lista negra, particularmente en una de att.net. Verificaría su dominio en mxtoolbox.com y verificaría que no esté ejecutando un relé abierto y que no esté en la lista negra.
Si tiene una IP dedicada, tendrá que resolver esto con ATT/Bell South. Si está utilizando una IP dinámica en una cuenta residencial, será un poco más difícil de resolver, ya que la mayoría de los ISP tienen un umbral bajo de soporte para usuarios que ejecutan servidores en cuentas no comerciales, y el aprovisionamiento generalmente significa que podría obtener bloqueado porque uno de sus vecinos es/era parte de una botnet de spam y la IP compartida fue bloqueada.
Con cualquier sistema de correo electrónico que envíe y reciba al público en general, estaría ejecutando un filtro de virus como clamav.
Respuesta2
¿Qué hay instalado en el VPS además de PostFix? ¿Qué sistemas y/o usuarios pueden enviar correo a través de su VPS?
Puede consultar el registro de Postfix para ver qué y/o quién envía correo a través de PostFix.
cat /var/log/mail.log
Lo que experimenté mucho en estas situaciones es que un cliente tiene un virus que abusa de su Outlook que utiliza nuestro servidor de correo para enviar correo. Podría ser que un usuario esté enviando SPAM a través de su cuenta.