¡Bienvenido a nuestra sección de preguntas y respuestas!

Aquí podrás realizar preguntas y recibir respuestas útiles de otros miembros de la comunidad.

¡Anímate a participar!


(Resuelto) - Problema postfix

0 votos

Desde este fin de semana tenemos un serio problema cuyo origen parece estar en que alguien intenta utilizar nuestra IP como punto de envío de mensajes. Suponemos que no se han enviado mensajes porque todos los buzones requieren autenticación y los intentos son con correos inexistentes.

El problema se encuentra en que el volumen de correos que tratan de enviar es tal que lo que ocupan éstos en las colas de reenvío junto con lo que ocupan los log de error que se están generando están llevando al límite la capacidad a nuestro servidor con la consiguiente caída del resto de servicios. Y la única forma que hemos encontrado para parar esto es parando el servicio postfix, pero obviamente esto deja a todo el mundo sin correo.

Por otro lado, lo que tampoco sabemos explicarnos es por qué los correos inexistentes llegan a formar parte de la Cola de Correo. ¿No deberían ser sencillamente no aceptados? Igual internamente se está utilizando una cuenta de correo real que se enmascara con la que no existe, pero ¿cómo podemos comprobar esto? En logmail.err todos estos correos aparecen con el mensaje "No such file or directory".

Finalmente, por si ayuda, en la cabecera de uno de los correos aparece lo siguiente (donde XXXX es nuestro dominio, y donde aparece claramente una IP que está en listas negras):

Received: from XXXX.com (localhost.localdomain [127.0.0.1])

by XXXX.com (Postfix) with ESMTP id 0749C372112D;
Received: from gtamjxsyautq (unknown [125.161.71.20])
by XXXX.com (Postfix) with ESMTP;
propuesto por anónimo 2 Jun, 2014 en Correo Electrónico

2 Respuestas

0 votos
 
Mejor respuesta
Por desgracia no es posible identificar la cuenta de origen mediante dicha cabecera. Dependiendo de qué versiones de Postfix aparece como detalle "sasl_username=cuentadecorreo@dominio" indicando bajo que cuenta se ha autenticado para remitir el correo.

Lo que debería realizar es cotejar dicho envío con los logs de correo ( ubicados normalmente en /usr/local/psa/var/log/maillog ) ya que en dichos logs si que aparece la cuenta bajo la que se autentican para realizar los envíos.
respondido por adau (29,590 puntos) 2 Jun, 2014
seleccionado por adau 23 Jun, 2014
Efectivamente aparece relacionada con esta extraña IP un correo real del dominio tras "sasl_username". De momento he desactivado el buzón para ver si siguen o no llegando más mensajes. En un par de horas si no ha entrado nada extraño lo indico por aquí.
Aparentemente todo va perfecto, dado que ya no se envía spam.

El problema ahora se encuentra en que tras los otros cambios realizados para tratar de solucionar esto, ahora se pueden enviar mensajes pero no se reciben por "Relay access denied".

Los cambios realizados han sido, si no recuerdo mal, los siguientes:

1. Realizar una actualización del software del contenedor, por si había algo que solucionara el problema.
2. Quitar y poner IPs en la Lista Blanca de las preferencias del correo del lado del servidor (creo que esto no ha quedado como estaba).
3. Poner en /etc/postfix/main.cf la seguridad adicional "check_sender_access hash:/etc/postfix/bloqueospam".
4. Deshacer lo anterior.

Ahora las IPs de la lista blanca son las siguientes:

127.0.0.0 / 8
127.0.0.1 / 32
XXXX / 32

¿Qué puede estar mal?
¿Habéis realizado una copia de seguridad previa del archivo main.cf de Postfix antes de realizar los cambios? Ya que sería un buen momento para restaurarlo de ser así.
Me temo que no...
Si nos pegáis como tenéis configurado el main.cf quizá podríamos ayudaros, ya que de lo contrario es difícil identificar donde puede estar el error.
Aquí va (las XXXX contienen en realidad el nombre del servidor y la IP):

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/postfix_default.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = XXXX.com
alias_maps = hash:/etc/aliases, hash:/var/spool/postfix/plesk/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = localhost.siliconpeople.net, localhost, localhost.localdomain
relayhost =
mynetworks = 127.0.0.0/8, XXXX/32, 127.0.0.1/32, 127.0.0.0/32
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
virtual_mailbox_domains = $virtual_mailbox_maps, hash:/var/spool/postfix/plesk/virtual_domains
virtual_alias_maps = $virtual_maps, hash:/var/spool/postfix/plesk/virtual
virtual_mailbox_maps = hash:/var/spool/postfix/plesk/vmailbox
transport_maps = hash:/var/spool/postfix/plesk/transport
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtp_use_tls = no
smtpd_timeout = 3600s
smtpd_proxy_timeout = 3600s
smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated, check_client_access pcre:/var/spool/postfix/plesk/non_auth.re
smtp_send_xforward_command = yes
smtpd_authorized_xforward_hosts = 127.0.0.0/8
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_mynetworks, check_client_access pcre:/var/spool/postfix/plesk/no_relay.re, permit_sasl_authenticated, reject_unauth_destination
virtual_mailbox_base = /var/qmail/mailnames
virtual_uid_maps = static:110
virtual_gid_maps = static:31
virtual_transport = plesk_virtual
plesk_virtual_destination_recipient_limit = 1
smtpd_client_restrictions =
message_size_limit = 51200000
inet_protocols = ipv4
mailman_destination_recipient_limit = 1
En la blacklist no habéis especificado ningún dominio, no?
Así estaba y nosotros no lo hemos tocado. Lo que sí hemos intentado es quitar esa restricción, y todas las demás una a una (ejecutando postfix reload tras cada cambio), y el problema sigue.
Problema resuelto.

De entrada, muchas gracias Adau porque tu indicación de mirar los logs de correo en para saber desde dónde se mandaban los emails me sirvió para solucionar la primera parte del problema, esto es, la del spam.

En cuanto a la segunda parte, que consistía en que se podían enviar correos pero no recibir, no sé muy bien dónde ha estado el origen del problema, pero sí su solución: la configuración de main.cf estaba bien, y para restablecer el servicio hemos tenido que desativar y volver a activar el servicio de correo en cada dominio, y posteriormente hemos tenido que recrear cada una de las cuentas de correo. Al parecer el problema se debía a que las tablas que utilizaba postfix con la información de estas cuentas no estaban bien, y con este procedimiento se han regenerado.

Gracias de nuevo por la ayuda.
Me alegro de que hayas podido solucionar el problema!

En ocasiones Plesk puede no funcionar correctamente sobretodo si se modifican directamente los archivos de configuración de los servicios y no desde Plesk. Pero como bien indicas, si se reactivan buzones, dominios, etc, el propio Plesk recrea las configuraciones.
0 votos
Hola!

Deberías facilitarnos la cabecera completa del correo para así poder intentar identificar con qué cuenta se está realizando Spam ya que es muy posible que estén realizando forge del From para que no sea fácil identificarla.
respondido por adau (29,590 puntos) 2 Jun, 2014
Aquí va (es de otro mensaje, es la cabecera que se puede leer desde la Cola de Correo dentro de Parallels Plesk Panel, y tanto XXXX.com como YYYY.com pertenecen a la misma IP y son dominios válidos):

Received: from XXXX.com (localhost.localdomain [127.0.0.1])
    by XXXX.com (Postfix) with ESMTP id DD4DB3721148;
    Mon,  2 Jun 2014 10:02:07 +0200 (CEST)
Received: from gtamjxsyautq (unknown [125.161.71.20])
    by XXXX.com (Postfix) with ESMTP;
    Mon,  2 Jun 2014 10:02:07 +0200 (CEST)
Subject:  
From: "Boz" <boz@YYYY.com>
Content-Type: text/plain;
    charset=us-ascii
X-Mailer: iPhone Mail (11D167)
Message-Id: <VDAIKGFB-XYWF-EWCC-9AGE-ZJ67RZFJRQEI@YYYY.com>
Date: Sun, 1 Jun 2014 23:46:50 -0700
To: "greenmile@ymail.com" <greenmile@ymail.com>
Content-Transfer-Encoding: quoted-printable
Mime-Version: 1.0 (1.0)

Preguntas relacionadas

0 votos
1 respuesta 426 vistas
0 votos
3 respuestas 765 vistas
0 votos
1 respuesta 174 vistas
0 votos
1 respuesta 103 vistas
propuesto por felixgm (750 puntos) 26 Jul, 2014 en Correo Electrónico
0 votos
1 respuesta 216 vistas
propuesto por felixgm (750 puntos) 23 Jul, 2014 en Correo Electrónico
...