Potencial infecção pós-fixada

Potencial infecção pós-fixada

Então, estou operando um Ubuntu VPS que usa postfix para enviar mensagens. Tenho vários endereços de e-mail anexados ao domínio hospedado no VPS, um deles é, digamos[e-mail protegido]. O proprietário deste endereço de e-mail possui dois computadores pessoais e nada mais e até agora usou o Thunderbird para acessar o endereço de e-mail.

Há alguns dias, a caixa de entrada de[e-mail protegido]começou a receber centenas e centenas de rebotes por hora, o dono do[e-mail protegido]excluiu suas entradas do Thunderbird para essas contas de e-mail ontem sem sucesso.

Ambos os computadores foram desligados ontem à noite, mas o endereço ainda estava recebendo devoluções. Agora, inicialmente pensei que, como nenhum dos computadores com a conta ativada estava ativado, isso poderia ser spam de retorno. No entanto, examinando mais de perto o e-mail, posso ver que alguns deles contêm linhas como:

<[email protected]>: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error -
Blocked for abuse. See http://att.net/blocks

Onde XX.XX.XX.XX é o endereço IP da nossa VPN. Isso me faz pensar que há algo errado com o servidor postfix (bem como provavelmente uma infecção nos computadores. Um clamscan completo produziu o seguinte:

    /var/qmail/mailnames/DOMAIN.COM/USER/Maildir/.Spam/cur/1366042516.M831269P7021V0000000000000025I0000000003C08ED0.VPS-DOMAIN.COM,S=152011:2,: Email.Trojan-432 FOUND
    /usr/share/MailScanner/MailScanner/MessageBatch.pm: Eicar-Test-Signature-1 FOUND

Alguma idéia de como posso rastrear o problema/resolver o problema?

Obrigado.

Responder1

E-mails "devolvidos" às vezes fazem parte de um ataque de spam, embora eu duvide que esse seja o caso no seu caso.

550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse.

Isso me leva a acreditar que o IP do seu servidor entrou em uma lista negra - especialmente uma com att.net. Gostaria de verificar seu domínio em mxtoolbox.com e verificar se você não está executando um retransmissor aberto e se não está na lista negra

Se você estiver em um IP dedicado, terá que resolver isso com a ATT/Bell South. Se você estiver usando um IP dinâmico em uma conta residencial, será um pouco mais difícil de resolver, já que a maioria dos ISPs tem um limite baixo de suporte para usuários que executam servidores em contas não comerciais, e o provisionamento geralmente significa que você pode estar recebendo bloqueado porque um de seus vizinhos faz/fez parte de uma botnet de spam e o IP compartilhado foi bloqueado.

Com qualquer sistema de e-mail enviando e recebendo para o público em geral, eu estaria executando um filtro de vírus como o clamav.

Responder2

O que está instalado no VPS além do PostFix? Quais sistemas e/ou usuários estão autorizados a enviar e-mails através do seu VPS?

Você pode verificar o log do Postfix para ver o que e/ou quem está enviando mensagens através do PostFix.

cat /var/log/mail.log

O que experimentei muito nessas situações é que um cliente tem um vírus que abusa de seu Outlook, que usa nosso servidor de e-mail para enviar e-mails. Pode ser que um usuário esteja enviando SPAM através de sua conta.

informação relacionada