Creo que nuestro servidor de correo ha sido comprometido. Hoy por la mañana, cuando revisé, había 1298 correos electrónicos rechazados de Google. con este mensajeMessages from x.x.x.x.x(our ip) temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Sin embargo, los correos se entregan a Gmail. Soy nuevo en esto, ¿alguien puede sugerirme dónde debería empezar a buscar? Estamos usando Postfix y dovecot en Ubuntu Server 10.04. Y seguí esta guía aquí.https://help.ubuntu.com/community/MailServer
Respuesta1
Empezaría a mirar sus registros de postfix. Busque un mayor flujo de correo que el que ve en sus registros del pasado. Buscaría específicamente el correo que va a Google en caso de que sea algo específico para ellos.
Si ve un aumento en el flujo de correo, mire los registros para ver cuál es el aumento. ¿Se trata de toneladas de correo para un solo usuario (como un script descontrolado que envía mensajes automatizados) o para un gran número de personas (spam)? Una vez que identifique parte del correo anormal, simplemente rastreelo y descubra de dónde vino.
También puedes ejecutar qshape deferred
para ver si todavía tienes correo en cola para Google (lo cual deberías hacer ya que estás recibiendo un código de respuesta 4xx). Si lo hace, puede ver los mensajes en /var/spool/postfix/deferred (úselo postcat
para ver los mensajes).
También es posible que esto no sea nada. Si su servidor de correo no envía mucho para empezar, entonces incluso un aumento pequeño, pero legítimo, podría haber superado los umbrales de spam de Google.
El mensaje de bloqueo que proporcionaste generalmente desaparece en unas pocas horas si se resuelve el problema que provocó tu bloqueo en primer lugar.
Respuesta2
PRIMERO: Verifique su sistema en busca de signos de un rootkit comodocumentado aquí,aquíoaquí. personalmente me gustachkrootkitcomo un control rápido.
1298 mensajes fallidos pueden ser muchos, dependiendo de cuál sea su volumen normal. Debes comprobar los mensajes devueltos para ver si se parecen a mensajes normales de tu entorno. Si no te resultan familiares, estás comprometido.
¡Limpiar! Si eso significa una reconstrucción, rastrear los procesos defectuosos, restaurar desde una copia de seguridad, etc., deberá remediar la situación que provocó el bloqueo.
Yo también recomendaríahaciendo exactamente lo que indica el mensaje de error. Desde allí, busque:
http://help.yahoo.com/l/us/yahoo/mail/postmaster/errors/421-ts01.html
Yahoo afirma:
Cuando ve este mensaje de error en sus registros SMTP (donde xxxx es su dirección IP), se debe a cualquiera de las siguientes razones: Estamos viendo tráfico inusual desde su dirección IP. El correo electrónico de su servidor de correo está generando quejas por parte de Yahoo! Usuarios de correo. Tenga en cuenta que esta suele ser una situación temporal y le recomendamos que vuelva a intentar enviar correo electrónico a nuestros servidores aproximadamente cuatro horas después de encontrar este mensaje de error. Si ve este error constantemente durante un período de 48 horas, completeesta formapara darnos suficiente información para que podamos abordar activamente el tema.
Visita elformulario mencionado en la advertenciay trabajar para desbloquearlo.
Sin embargo, establezca las expectativas para sus usuarios. Esto puede tomar algo de tiempo.
Respuesta3
PUEDE ser que hayas estado comprometido. Antes de esa suposición, sin embargo, algunas preguntas:
1) ¿Estás enviando correos masivos desde ese servidor? Si es así, es posible que los destinatarios de Yahoo lo hayan marcado como spam y, por lo tanto, lo rechacen.
2) ¿Está configurado como relé abierto? Es decir, ¿puede transmitir correo SMTP a dominios distintos al suyo desde máquinas fuera de su red? (Probar,usa estas instruccionespara enviar correo a una cuenta de gmail o algo así). Si usted es un retransmisor abierto, es posible que los spammers estén rebotando correo a través de su servidor y usted reciba quejas de spam de Yahoo.
Respuesta4
Tuve un problema similar con Trend Micro. ¿Quizás su dirección pública esté en la lista negra? Si su usuario usa Internet a través de esta IP, quizás algunos de ellos usen torrent u otro software p2p.