¡Bienvenido a nuestra sección de preguntas y respuestas!

Aquí podrás realizar preguntas y recibir respuestas útiles de otros miembros de la comunidad.

¡Anímate a participar!


(Resuelto) - Encontrar email que envia SPAM

0 votos

Hemos detectado que un dominio del servidor VPS que tenemos está enviando SPAM (ahora mismo 48.000 correos en cola de envío. Hemos bloqueado el correo del dominio para no entrar en listas negras, pero tendríamos que encontrar el correo que envía.

Mirando los mensajes con  "postcat -q ID" parece que los correos se envían desde www-data@dominio.com pero este usuario no existe. Que manera hay para poder mirar desde que usuario se envían los correos?

Hemos mirado en los log que estan en la carpeta "/opt/psa/var/log" pero no conseguimos ver nada claro.

Gracias!

propuesto por situplastik (700 puntos) 12 Feb, 2014 en Plesk

2 Respuestas

0 votos
 
Mejor respuesta
Con las cabeceras en cuestión no es posible identificar el problema ya que únicamente identifica el usuario con el id 33 ( que es el proceso de apache, www-data en esta distribución ) por lo que en este tipo de casos se ha de configurar un script para poder identificar desde que directorio de que web se está haciendo Spam:
 
1. Nos logeamos como root y creamos el archivo /usr/local/bin/logging_sendmail con el siguiente contenido:
 
#!/bin/sh
# Logging sendmail wrapper
 
SENDMAIL="/usr/sbin/sendmail"
LOGFILE="/var/log/sendmail.log"
 
DT=`date "+%Y-%m-%d %H:%M:%S"`
DTFN=`date "+%Y%m%d-%H%M%S"`
TMPFP=`tempfile --prefix=lsm_`
 
cat | tee "$TMPFP" | $SENDMAIL $*
RETVAL=$?
 
TO=`grep "To:" <"$TMPFP"`
rm -f "$TMPFP"
 
echo "$DT: $PWD sends e-mail $TO" >>$LOGFILE
 
exit $RETVAL
 
2. Hacemos el script ejecutable:
 
chmod +x /usr/local/bin/logging_sendmail
 
3. Creamos el archivo /var/log/sendmail.log:
 
touch /var/log/sendmail.log
 
chown root:adm  /var/log/sendmail.log
 
chmod 662  /var/log/sendmail.log
 
4. Añadimos la configuración del logrotate en /etc/logrotate.d/logging_sendmail:
 
/var/log/sendmail.log {
    weekly
    rotate 4
    compress
    delaycompress
    missingok
    create 662 root adm
}
 
5. Configuramos el script dentro de PHP ( dependiendo del modo bajo el que se ejecuta PHP y la distribución puede variar la ruta del php.ini ) en /etc/php5/apache2/php.ini:
 
[mail function]
; For Win32 only.
;SMTP = localhost
;smtp_port = 25
 
; For Win32 only.
;sendmail_from = me@example.com
 
; For Unix only.  You may supply arguments as well (default: "sendmail -t -i").
sendmail_path = /usr/local/bin/logging_sendmail -t -i
 
6. Reiniciamos apache y revisamos en el log en cuestión ( /var/log/sendmail.log ) que nos indicará desde que directorio se envía cualquier correo mediante la función mail() de PHP, por lo que podremos identificar desde donde se está realizando Spam.

 

respondido por adau (29,590 puntos) 20 Feb, 2014
editado por adau 20 Feb, 2014
Excelente respuesta, muchas gracias.
0 votos
Hola situplastik,

El remitente www-data@dominio.com indica que proviene de un formulario web. Dependiendo de la versión de Postfix incluso puede salir el archivo de origen desde el que proviene el Spam ejecutando el "postcat -q ID" y revisando las cabeceras.

Si nos adjuntas una de las cabeceras te indicaremos si se detalla o no.
respondido por adau (29,590 puntos) 12 Feb, 2014
Aquí está la cabezera de uno de los correos que han sido devueltos por el SPAM

Received: by servidor.es (Postfix)
    id 35B5E1300D66; Wed, 12 Feb 2014 17:48:33 +0100 (CET)
Date: Wed, 12 Feb 2014 17:48:33 +0100 (CET)
From: MAILER-DAEMON@dominio.com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: www-data@dominio.com
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
    boundary="CA1291301D1F.1392223713/servidor.es"
Message-Id: <20140212164833.35B5E1300D66@servidor.es>

Aquí otro:

Received: by servidor.es (Postfix, from userid 33)
    id A83AE1300EC6; Wed, 12 Feb 2014 17:34:19 +0100 (CET)
To: papaza@aol.com
Subject: Gas Usage Statement
From: "Energy Billing Service" <DoNotReply@dominio2.com>
X-Mailer: XimianEvolution1.4.6
Reply-To: "Energy Billing Service" <DoNotReply@dominio2.com>
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----------139222285952FBA28BA5DDA"
Message-Id: <20140212163419.A83AE1300EC6@servidor.es>
Date: Wed, 12 Feb 2014 17:34:19 +0100 (CET)

Hemos detectado que se envian los correos desde dos dominios diferentes del mismo servidor.

Preguntas relacionadas

0 votos
1 respuesta 426 vistas
0 votos
2 respuestas 70 vistas
0 votos
1 respuesta 876 vistas
0 votos
2 respuestas 761 vistas
0 votos
1 respuesta 218 vistas
propuesto por felixgm (750 puntos) 23 Jul, 2014 en Correo Electrónico
...