Postfix & virus & blacklisted [RISOLTO]

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Postfix & virus & blacklisted [RISOLTO]

Messaggio da tgmx »

Ciao Ragazzi,
l'argomento è un po' complicato ma sono sicuro che su Slacky qualcuno saprà di cosa sto parlando... ;)

Un cliente mi ha detto che dall'ufficio non riescono più a mandare la posta (server in sede postfix e dns su aruba che puntano lì).
Dando un'occhiata al messaggio che viene restituito si legge qualcosa tipo:
rejected ..... from ip XX.XX.XX.XX blacklisted by tin.it
In pratica il loro ip pubblico è finito in una blacklist.
Dato che il server di posta l'ho configurato io ed è identico a quello che uso nell'azienda in cui lavoro mi sono un po' preoccupato.
Chiaramente è già bloccato il relay da ip fuori della lan (nessuno da fuori può usare quel server come server smtp) .L'unica causa che mi è venuta in mente è che ultimamente hanno avuto diversi problemi di virus e pc in tilt quindi è probabile che qualche "parassita" inviasse una gran quantità di spam da uno o più pc infetti.

Secondo voi è possibile...? Ed eventualmente come si potrebbe evitare una cosa del genere?

Edit:
Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?
Ultima modifica di tgmx il mar 16 feb 2010, 19:22, modificato 1 volta in totale.

notsafe
Linux 2.x
Linux 2.x
Messaggi: 451
Iscritto il: mar 21 mar 2006, 11:00

Re: Postfix & virus & blacklisted

Messaggio da notsafe »

tgmx ha scritto:Ciao Ragazzi,
Chiaramente è già bloccato il relay da ip fuori della lan (nessuno da fuori può usare quel server come server smtp) .L'unica causa che mi è venuta in mente è che ultimamente hanno avuto diversi problemi di virus e pc in tilt quindi è probabile che qualche "parassita" inviasse una gran quantità di spam da uno o più pc infetti.

Secondo voi è possibile...? Ed eventualmente come si potrebbe evitare una cosa del genere?
Prima cosa fa fare: verificare in quale lista è presente l'IP.Ti consiglio di andare su un sito di RBL check (io per esempio mi trovo piuttosto bene con http://www.robtex.com ) e controllare: da qui si può capire se è un reale problema di SPAM (alcuni rbl service per agevolare il compito ai sysadmin mostrano tracciati di log) o di inserimento in qualche DUL (dialup list).In questo modo poi puoi procedere con l'eventuale richiesta di delist.

Fatto questo...

il server in questione esce in internet con lo stesso IP della LAN interna (situazione classica nelle SOHO)?
Se si, è molto probabile che il problema non riguarda il server ma la (ipotizzabile) presenza di qualche virus/trojan su qualche postazione che sta inviando SPAM.
Come risolvere il problema?
- identificazione del pc infetto
- antivirus e patch
. Non permettere connessioni verso l'esterno sulla porta 25/tcp (ovviamente tale regola deve avere come unica eccezzione il server smtp).
Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?
si
http://www.postfix.org/postconf.5.html# ... ted_sender

Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Re: Postfix & virus & blacklisted

Messaggio da tgmx »

@notsafe
Chiaro semplice e conciso...

intanto grazie,

per adesso sto guardando il sito che hai postato (http://www.robtex.com) e vedrò di capirci di più.

Il server in questione esce in internet con lo stesso IP della LAN.

Sul discordo "individuazione pc infetto" ci sto lavorando.

Unico punto poco chiaro:
Non permettere connessioni verso l'esterno sulla porta 25/tcp (ovviamente tale regola deve avere come unica eccezzione il server smtp).
... se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?

E se è così, a questo punto è inutile il parametro per postfix che ho chiesto, dico bene?

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Postfix & virus & blacklisted

Messaggio da conraid »

tgmx ha scritto:
Unico punto poco chiaro:
Non permettere connessioni verso l'esterno sulla porta 25/tcp (ovviamente tale regola deve avere come unica eccezzione il server smtp).
... se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?
è possibile
tgmx ha scritto: E se è così, a questo punto è inutile il parametro per postfix che ho chiesto, dico bene?
secondo me è sempre bene limitare le connessioni se non necessarie

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Postfix & virus & blacklisted

Messaggio da ZeroUno »

vediti questi link per scoprire come stai messo. In particolare il primo mostra un grafico del traffico 'cattivo' che hai generato nell'ultimo mese.

http://www.trustedsource.org/query/XX.XX.XX.XX
http://www.spamhaus.org/query/bl?ip=XX.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX

Anche io concordo che probabilmente il tuo mailserver è stato bannato senza aver spedito mail perchè il virus ha fatto da sé, quindi per evitare blocca la porta 25 in uscita.

sul router:
iptables -A OUTPUT -p tcp --dport 25 -s <ip-locale-del-mail-server> -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j DROP

leggi
http://cbl.abuseat.org/nat.html


Ciao
01
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Re: Postfix & virus & blacklisted

Messaggio da tgmx »

ZeroUno ha scritto:vediti questi link per scoprire come stai messo. In particolare il primo mostra un grafico del traffico 'cattivo' che hai generato nell'ultimo mese.

http://www.trustedsource.org/query/XX.XX.XX.XX
http://www.spamhaus.org/query/bl?ip=XX.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX

Anche io concordo che probabilmente il tuo mailserver è stato bannato senza aver spedito mail perchè il virus ha fatto da sé, quindi per evitare blocca la porta 25 in uscita.

sul router:
iptables -A OUTPUT -p tcp --dport 25 -s <ip-locale-del-mail-server> -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j DROP
leggi
http://cbl.abuseat.org/nat.html
Ciao

01
Ho provato: http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX
e la risposta è stata:

Codice: Seleziona tutto

IP Address XX.XX.XX.XX is currently listed in the CBL.
It was detected at 2010-02-11 11:00 GMT (+/- 30 minutes), approximately 4 days, 10 hours ago.
Questo dovrebbe confermare il fatto che l'ip è finito in una blacklist, giusto?

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Postfix & virus & blacklisted

Messaggio da ZeroUno »

si.
con il primo link hai un grafico con cui ti rendi conto quando è cominciato e quanto è durato.
adesso è ora di correre ai ripari.
1) bloccare la porta 25 (eventualmente metterci anche un log)
2) scansione di tutti i pc ed individuazione dell'incriminato
3) capire come è entrato il virus
4) mettere un antivirus sul server sia per la posta in uscita, sia per la posta in entrata
5) configurare il proxy sul server con un antivirus anche lì e bloccare la porta 80 e 443 (io direi di bloccare tutto e obbligare a passare dal proxy)
6) un bel spamassassin e compagnia sul server di posta sia in uscita che in entrata.
7) segnalare al cbl e agli altri che non sei uno spammer
8) scrivere ai provider che ti bloccano che non sei uno spammer
9) aspettare una settimanella almeno da quando la situazione è stata pulita.

Ciao
01
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Re: Postfix & virus & blacklisted

Messaggio da tgmx »

ZeroUno ha scritto:si.
con il primo link hai un grafico con cui ti rendi conto quando è cominciato e quanto è durato.
adesso è ora di correre ai ripari.
1) bloccare la porta 25 (eventualmente metterci anche un log)
2) scansione di tutti i pc ed individuazione dell'incriminato
3) capire come è entrato il virus
4) mettere un antivirus sul server sia per la posta in uscita, sia per la posta in entrata
5) configurare il proxy sul server con un antivirus anche lì e bloccare la porta 80 e 443 (io direi di bloccare tutto e obbligare a passare dal proxy)
6) un bel spamassassin e compagnia sul server di posta sia in uscita che in entrata.
7) segnalare al cbl e agli altri che non sei uno spammer
8) scrivere ai provider che ti bloccano che non sei uno spammer
9) aspettare una settimanella almeno da quando la situazione è stata pulita.

Ciao
01
Perfetto... a volte devono capitare queste cose per imparare qualcosa... :)

Grazie mille a tutti,
ora cercherò di tirare fuori quell'ip dalla blacklist e posterò i risultati... :)

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Postfix & virus & blacklisted

Messaggio da ZeroUno »

tgmx ha scritto:Perfetto... a volte devono capitare queste cose per imparare qualcosa... :)
vero, ma mi sarei accontentato di impararle sui libri piuttosto che sulla pelle. Ancora sto combattendo con spam non rilevato come tale e mail pulite rilevate come spam. Che non sarebbe un grande problema, se parte di queste mail non fossero del capo (il datore di lavoro ;-) ).

Ciao
01
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
NetNightmare
Linux 1.x
Linux 1.x
Messaggi: 175
Iscritto il: lun 18 ago 2008, 11:00
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox
Località: Rome

Re: Postfix & virus & blacklisted

Messaggio da NetNightmare »

.. se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?
Nel 90 % dei casi i virus che inviano mail lo fanno senza usare il server di posta .....ecco perche come gia' ti hanno consigliato e' sempre bene inibire l'utilizzo della porta 25 dall'interno della propria azienda, specialmente nel caso che l'ip di uscita della connessione internet degli utenti sia lo stesso di uscita del server smtp ...
Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?

si
http://www.postfix.org/postconf.5.html# ... ted_sender
Esatto io aggiungo anche che sarebbe cosa buona e giusta che il tuo server richieda anche l'autenticazione per l'invio .. anche se l'invio non e' permesso dall'esterno ... \:D/ \:D/


Comunque hai risolto ormai ;-D la CBL e' abbastanza veloce nel delisting ...

Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Re: Postfix & virus & blacklisted

Messaggio da tgmx »

NetNightmare ha scritto:
.. se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?
Nel 90 % dei casi i virus che inviano mail lo fanno senza usare il server di posta .....ecco perche come gia' ti hanno consigliato e' sempre bene inibire l'utilizzo della porta 25 dall'interno della propria azienda, specialmente nel caso che l'ip di uscita della connessione internet degli utenti sia lo stesso di uscita del server smtp ...
Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?

si
http://www.postfix.org/postconf.5.html# ... ted_sender
Esatto io aggiungo anche che sarebbe cosa buona e giusta che il tuo server richieda anche l'autenticazione per l'invio .. anche se l'invio non e' permesso dall'esterno ... \:D/ \:D/


Comunque hai risolto ormai ;-D la CBL e' abbastanza veloce nel delisting ...
Ammetto di non aver mai pensato a chiudere la 25 per i client tra l'altro inizialmente usavano il server di posta direttamente su aruba quindi chiudere la 25 bloccava la posta.

Ora provo a far togliere quell'ip dalla blacklist e vediamo quanto ci mettono...

Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Re: Postfix & virus & blacklisted

Messaggio da tgmx »

A quanto pare è tornato tutto a posto... :thumbright:

Alla fine ho fatto come mi è stato suggerito:

1) chiuso subito in uscita la porta 25 per tutti i client della lan
2) richiesto il delisting dal sito: http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX
(le X rappresentano l'ip messo in blacklist)
3) fatto una scansione con un tool consigliato nel sito precedente
e scaricato da: http://vil.nai.com/vil/stinger/ (anche se ancora non ho trovato nessun virus o simili)

...speriamo che basti!

Unico neo:
ora dalla lan tutti quelli che inviavano la posta dal loro portatile con server in uscita del tipo out.alice.it non ci riescono più e quando sono in ufficio devono cambiarlo con l'ip locale del server... Questo è il prezzo da pagare per avere un po' più di tranquillità... :D


Grazie di nuovo a tutti!!!

Avatar utente
NetNightmare
Linux 1.x
Linux 1.x
Messaggi: 175
Iscritto il: lun 18 ago 2008, 11:00
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox
Località: Rome

Re: Postfix & virus & blacklisted

Messaggio da NetNightmare »

tgmx ha scritto: Unico neo:
ora dalla lan tutti quelli che inviavano la posta dal loro portatile con server in uscita del tipo out.alice.it non ci riescono più e quando sono in ufficio devono cambiarlo con l'ip locale del server... Questo è il prezzo da pagare per avere un po' più di tranquillità... :D
mmmmmm ..............e come mai hanno out.alice.it ( non ci crederete ma ....si ve lo dico ....sexchange 2003 ) come server di posta in uscita ? lo usano per l'account aziedale o lo usano per i loro account personali ?

Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Re: Postfix & virus & blacklisted

Messaggio da tgmx »

NetNightmare ha scritto: mmmmmm ..............e come mai hanno out.alice.it ( non ci crederete ma ....si ve lo dico ....sexchange 2003 ) come server di posta in uscita ? lo usano per l'account aziedale o lo usano per i loro account personali ?
:lol:
No, è più semplice di quello che sembra. Chi va al lavoro col portatile e ha a casa la stessa adsl che ha in ufficio può (poteva) lasciare il client di posta configurato con l'smtp di alice e non dover cambiare ogni volta... credo sia solo per quello... o comunque quello è un motivo. ;)

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Postfix & virus & blacklisted [RISOLTO]

Messaggio da ZeroUno »

puoi configurare il firewall in modo da redirezionare automaticamente tutto il traffico verso out.alice.it porta 25 verso il tuo server

Ciao
01
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Rispondi