Pagina 1 di 2

Postfix & virus & blacklisted [RISOLTO]

Inviato: lun feb 15, 2010 19:46
da tgmx
Ciao Ragazzi,
l'argomento è un po' complicato ma sono sicuro che su Slacky qualcuno saprà di cosa sto parlando... ;)

Un cliente mi ha detto che dall'ufficio non riescono più a mandare la posta (server in sede postfix e dns su aruba che puntano lì).
Dando un'occhiata al messaggio che viene restituito si legge qualcosa tipo:
rejected ..... from ip XX.XX.XX.XX blacklisted by tin.it


In pratica il loro ip pubblico è finito in una blacklist.
Dato che il server di posta l'ho configurato io ed è identico a quello che uso nell'azienda in cui lavoro mi sono un po' preoccupato.
Chiaramente è già bloccato il relay da ip fuori della lan (nessuno da fuori può usare quel server come server smtp) .L'unica causa che mi è venuta in mente è che ultimamente hanno avuto diversi problemi di virus e pc in tilt quindi è probabile che qualche "parassita" inviasse una gran quantità di spam da uno o più pc infetti.

Secondo voi è possibile...? Ed eventualmente come si potrebbe evitare una cosa del genere?

Edit:
Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?

Re: Postfix & virus & blacklisted

Inviato: lun feb 15, 2010 20:50
da notsafe
tgmx ha scritto:Ciao Ragazzi,
Chiaramente è già bloccato il relay da ip fuori della lan (nessuno da fuori può usare quel server come server smtp) .L'unica causa che mi è venuta in mente è che ultimamente hanno avuto diversi problemi di virus e pc in tilt quindi è probabile che qualche "parassita" inviasse una gran quantità di spam da uno o più pc infetti.

Secondo voi è possibile...? Ed eventualmente come si potrebbe evitare una cosa del genere?


Prima cosa fa fare: verificare in quale lista è presente l'IP.Ti consiglio di andare su un sito di RBL check (io per esempio mi trovo piuttosto bene con http://www.robtex.com ) e controllare: da qui si può capire se è un reale problema di SPAM (alcuni rbl service per agevolare il compito ai sysadmin mostrano tracciati di log) o di inserimento in qualche DUL (dialup list).In questo modo poi puoi procedere con l'eventuale richiesta di delist.

Fatto questo...

il server in questione esce in internet con lo stesso IP della LAN interna (situazione classica nelle SOHO)?
Se si, è molto probabile che il problema non riguarda il server ma la (ipotizzabile) presenza di qualche virus/trojan su qualche postazione che sta inviando SPAM.
Come risolvere il problema?
- identificazione del pc infetto
- antivirus e patch
. Non permettere connessioni verso l'esterno sulla porta 25/tcp (ovviamente tale regola deve avere come unica eccezzione il server smtp).

Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?


si
http://www.postfix.org/postconf.5.html# ... ted_sender

Re: Postfix & virus & blacklisted

Inviato: lun feb 15, 2010 21:08
da tgmx
@notsafe
Chiaro semplice e conciso...

intanto grazie,

per adesso sto guardando il sito che hai postato (http://www.robtex.com) e vedrò di capirci di più.

Il server in questione esce in internet con lo stesso IP della LAN.

Sul discordo "individuazione pc infetto" ci sto lavorando.

Unico punto poco chiaro:
Non permettere connessioni verso l'esterno sulla porta 25/tcp (ovviamente tale regola deve avere come unica eccezzione il server smtp).

... se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?

E se è così, a questo punto è inutile il parametro per postfix che ho chiesto, dico bene?

Re: Postfix & virus & blacklisted

Inviato: lun feb 15, 2010 21:16
da conraid
tgmx ha scritto:
Unico punto poco chiaro:
Non permettere connessioni verso l'esterno sulla porta 25/tcp (ovviamente tale regola deve avere come unica eccezzione il server smtp).

... se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?


è possibile

tgmx ha scritto:E se è così, a questo punto è inutile il parametro per postfix che ho chiesto, dico bene?


secondo me è sempre bene limitare le connessioni se non necessarie

Re: Postfix & virus & blacklisted

Inviato: lun feb 15, 2010 21:23
da ZeroUno
vediti questi link per scoprire come stai messo. In particolare il primo mostra un grafico del traffico 'cattivo' che hai generato nell'ultimo mese.

http://www.trustedsource.org/query/XX.XX.XX.XX
http://www.spamhaus.org/query/bl?ip=XX.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX

Anche io concordo che probabilmente il tuo mailserver è stato bannato senza aver spedito mail perchè il virus ha fatto da sé, quindi per evitare blocca la porta 25 in uscita.

sul router:
iptables -A OUTPUT -p tcp --dport 25 -s <ip-locale-del-mail-server> -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j DROP

leggi
http://cbl.abuseat.org/nat.html


Ciao
01

Re: Postfix & virus & blacklisted

Inviato: lun feb 15, 2010 21:33
da tgmx
ZeroUno ha scritto:vediti questi link per scoprire come stai messo. In particolare il primo mostra un grafico del traffico 'cattivo' che hai generato nell'ultimo mese.

http://www.trustedsource.org/query/XX.XX.XX.XX
http://www.spamhaus.org/query/bl?ip=XX.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX

Anche io concordo che probabilmente il tuo mailserver è stato bannato senza aver spedito mail perchè il virus ha fatto da sé, quindi per evitare blocca la porta 25 in uscita.

sul router:
iptables -A OUTPUT -p tcp --dport 25 -s <ip-locale-del-mail-server> -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j DROP
leggi
http://cbl.abuseat.org/nat.html
Ciao

01


Ho provato: http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX
e la risposta è stata:

Codice: Seleziona tutto

IP Address XX.XX.XX.XX is currently listed in the CBL.
It was detected at 2010-02-11 11:00 GMT (+/- 30 minutes), approximately 4 days, 10 hours ago.

Questo dovrebbe confermare il fatto che l'ip è finito in una blacklist, giusto?

Re: Postfix & virus & blacklisted

Inviato: lun feb 15, 2010 21:42
da ZeroUno
si.
con il primo link hai un grafico con cui ti rendi conto quando è cominciato e quanto è durato.
adesso è ora di correre ai ripari.
1) bloccare la porta 25 (eventualmente metterci anche un log)
2) scansione di tutti i pc ed individuazione dell'incriminato
3) capire come è entrato il virus
4) mettere un antivirus sul server sia per la posta in uscita, sia per la posta in entrata
5) configurare il proxy sul server con un antivirus anche lì e bloccare la porta 80 e 443 (io direi di bloccare tutto e obbligare a passare dal proxy)
6) un bel spamassassin e compagnia sul server di posta sia in uscita che in entrata.
7) segnalare al cbl e agli altri che non sei uno spammer
8) scrivere ai provider che ti bloccano che non sei uno spammer
9) aspettare una settimanella almeno da quando la situazione è stata pulita.

Ciao
01

Re: Postfix & virus & blacklisted

Inviato: lun feb 15, 2010 21:54
da tgmx
ZeroUno ha scritto:si.
con il primo link hai un grafico con cui ti rendi conto quando è cominciato e quanto è durato.
adesso è ora di correre ai ripari.
1) bloccare la porta 25 (eventualmente metterci anche un log)
2) scansione di tutti i pc ed individuazione dell'incriminato
3) capire come è entrato il virus
4) mettere un antivirus sul server sia per la posta in uscita, sia per la posta in entrata
5) configurare il proxy sul server con un antivirus anche lì e bloccare la porta 80 e 443 (io direi di bloccare tutto e obbligare a passare dal proxy)
6) un bel spamassassin e compagnia sul server di posta sia in uscita che in entrata.
7) segnalare al cbl e agli altri che non sei uno spammer
8) scrivere ai provider che ti bloccano che non sei uno spammer
9) aspettare una settimanella almeno da quando la situazione è stata pulita.

Ciao
01


Perfetto... a volte devono capitare queste cose per imparare qualcosa... :)

Grazie mille a tutti,
ora cercherò di tirare fuori quell'ip dalla blacklist e posterò i risultati... :)

Re: Postfix & virus & blacklisted

Inviato: mar feb 16, 2010 0:52
da ZeroUno
tgmx ha scritto:Perfetto... a volte devono capitare queste cose per imparare qualcosa... :)

vero, ma mi sarei accontentato di impararle sui libri piuttosto che sulla pelle. Ancora sto combattendo con spam non rilevato come tale e mail pulite rilevate come spam. Che non sarebbe un grande problema, se parte di queste mail non fossero del capo (il datore di lavoro ;-) ).

Ciao
01

Re: Postfix & virus & blacklisted

Inviato: mar feb 16, 2010 12:24
da NetNightmare
.. se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?


Nel 90 % dei casi i virus che inviano mail lo fanno senza usare il server di posta .....ecco perche come gia' ti hanno consigliato e' sempre bene inibire l'utilizzo della porta 25 dall'interno della propria azienda, specialmente nel caso che l'ip di uscita della connessione internet degli utenti sia lo stesso di uscita del server smtp ...

Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?

si
http://www.postfix.org/postconf.5.html# ... ted_sender


Esatto io aggiungo anche che sarebbe cosa buona e giusta che il tuo server richieda anche l'autenticazione per l'invio .. anche se l'invio non e' permesso dall'esterno ... \:D/ \:D/


Comunque hai risolto ormai ;-D la CBL e' abbastanza veloce nel delisting ...

Re: Postfix & virus & blacklisted

Inviato: mar feb 16, 2010 14:39
da tgmx
NetNightmare ha scritto:
.. se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?


Nel 90 % dei casi i virus che inviano mail lo fanno senza usare il server di posta .....ecco perche come gia' ti hanno consigliato e' sempre bene inibire l'utilizzo della porta 25 dall'interno della propria azienda, specialmente nel caso che l'ip di uscita della connessione internet degli utenti sia lo stesso di uscita del server smtp ...

Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?

si
http://www.postfix.org/postconf.5.html# ... ted_sender


Esatto io aggiungo anche che sarebbe cosa buona e giusta che il tuo server richieda anche l'autenticazione per l'invio .. anche se l'invio non e' permesso dall'esterno ... \:D/ \:D/


Comunque hai risolto ormai ;-D la CBL e' abbastanza veloce nel delisting ...


Ammetto di non aver mai pensato a chiudere la 25 per i client tra l'altro inizialmente usavano il server di posta direttamente su aruba quindi chiudere la 25 bloccava la posta.

Ora provo a far togliere quell'ip dalla blacklist e vediamo quanto ci mettono...

Re: Postfix & virus & blacklisted

Inviato: mar feb 16, 2010 19:21
da tgmx
A quanto pare è tornato tutto a posto... :thumbright:

Alla fine ho fatto come mi è stato suggerito:

1) chiuso subito in uscita la porta 25 per tutti i client della lan
2) richiesto il delisting dal sito: http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX
(le X rappresentano l'ip messo in blacklist)
3) fatto una scansione con un tool consigliato nel sito precedente
e scaricato da: http://vil.nai.com/vil/stinger/ (anche se ancora non ho trovato nessun virus o simili)

...speriamo che basti!

Unico neo:
ora dalla lan tutti quelli che inviavano la posta dal loro portatile con server in uscita del tipo out.alice.it non ci riescono più e quando sono in ufficio devono cambiarlo con l'ip locale del server... Questo è il prezzo da pagare per avere un po' più di tranquillità... :D


Grazie di nuovo a tutti!!!

Re: Postfix & virus & blacklisted

Inviato: mar feb 16, 2010 20:39
da NetNightmare
tgmx ha scritto:Unico neo:
ora dalla lan tutti quelli che inviavano la posta dal loro portatile con server in uscita del tipo out.alice.it non ci riescono più e quando sono in ufficio devono cambiarlo con l'ip locale del server... Questo è il prezzo da pagare per avere un po' più di tranquillità... :D


mmmmmm ..............e come mai hanno out.alice.it ( non ci crederete ma ....si ve lo dico ....sexchange 2003 ) come server di posta in uscita ? lo usano per l'account aziedale o lo usano per i loro account personali ?

Re: Postfix & virus & blacklisted

Inviato: mar feb 16, 2010 21:04
da tgmx
NetNightmare ha scritto:mmmmmm ..............e come mai hanno out.alice.it ( non ci crederete ma ....si ve lo dico ....sexchange 2003 ) come server di posta in uscita ? lo usano per l'account aziedale o lo usano per i loro account personali ?


:lol:
No, è più semplice di quello che sembra. Chi va al lavoro col portatile e ha a casa la stessa adsl che ha in ufficio può (poteva) lasciare il client di posta configurato con l'smtp di alice e non dover cambiare ogni volta... credo sia solo per quello... o comunque quello è un motivo. ;)

Re: Postfix & virus & blacklisted [RISOLTO]

Inviato: mar feb 16, 2010 23:27
da ZeroUno
puoi configurare il firewall in modo da redirezionare automaticamente tutto il traffico verso out.alice.it porta 25 verso il tuo server

Ciao
01