SoloCodigo

Sin saber que servidor de correo tienes, y como envias los correos, asi con la información que das:

A mi me paso algo igualito, probaste a cambiar las contraseñas del admin, y otras.

Yo opté directamente por quitar el servidor interno de correo del servidor, durante un tiempo, y usar uno externo, creo q era un chino o algo haciendo un rastreo de la ip. Valientes capullos.

Alucinas, cuando ves que el servidor esta mandando locamente sin que le des una orden, el trafico se dispara, y ves como se van llenando las colas de envio.

Tienes que ir a una carpeta que es algo asi como mail depende del servidor de mail que uses, y dentro de este mail hay una carpeta como OUTBOX o algo asi, te das cuenta porq esta llena de ficherillos que se van actualizando y renovando.

Haces un list de los ficheros pendientes y ves fisicamente los que estan pendientes. Seguro que tienes cientos, y segun se envian se renuevan. Miralo sobre todo en una hora de poco tráfico con lo que destaca más.  

Creo que si puedes acceder a las colas las veras llenas, y a partir de ahi puedes saber que cuenta estan usando intencionadamente, o si le han pillado el pass, para enviar toda esta basura.

Si el logging no es bueno o no te quieres liar, puedes hacer un programita que te cheque la cola cada 5 minutos y si hay un trafico inusual te mande un mensaje al movil, o un correo electronico como prefieras.

Si no te quieres liar, me lo dices y te lo hago con el www.autoit.es, es bastante sencillo hacerlo en autoit.

A divertirse con el Spamm. Odio a los Spammers,   ladrones de tiempo.

que quieres decir con esto de 'tons?

Debe ser "entonces"

 

ehh, te dije que algo parecido no me se de memoria todos los progs de envio sorry

la que buscas es qmail/queue/outbox y qmail/queue/sent

que quieres decir con esto de 'tons?
He enviado un correo por Telnet con SMTP y sale sad.gif 'tons ahora es como hago para restringir esto?

Tengo qmail/queue/mess y dentro de esta hay varias carpetas de 0 a 21 que contiene lo que hay en cola.

'tons quiere decir "entonces"

Y pues lo de "He enviado un correo por Telnet......"
Es pues eso que he podido conectar por Telnet al servidor y a las páginas y lograr enviar correos via SMTP con el puerto 25, cosa que me imágino que puede ser bloqueada, osea, bloquear el acceso por Telnet al puerto 25 pero no llegar a bloquear los mensajes que se envían desde los webmail.

Sino me entiendes esta cacho

Pero ya sabes como están enviando los correos?
No puede ser alguien que tenga una cuenta en el web mail que los produce?
es que solo van por el puerto 25 lo que están haciendo el Spam?
Ya viste si habia en queue una carpeta saturada inusualmente?
Tienes el mail del infractor/es o es que usan el qmail sin mail?

@xcx aqui viene como hacerlo: en la ayuda q enviaste

Esto normalmente está dehabilitado, pues en caso contario cualquier persona de Internet podría usar nuestro servidor para enviar correo SPAM. Sólo nuestras estaciones deberán habilitarse.

Lo del telnet es que te conectas por telnet para acceder al shell del sistema y asi en modo comando vas listando carpetas, y pruebas el qmail? o es que accedes directamente el puerto 25 y lo compruebas enviando las comunicaciones adecuadas?

Pero ya sabes como están enviando los correos?
No puede ser alguien que tenga una cuenta en el web mail que los produce?
es que solo van por el puerto 25 lo que están haciendo el Spam?
Ya viste si habia en queue una carpeta saturada inusualmente?
Tienes el mail del infractor/es o es que usan el qmail sin mail?

1.) No, pues una puede ser por Telnet creo....
2.) No, mira este uno de tantos sprerequisite@abins.com (OJALA LO TOMEN ALGUN ROBOT DE ACA PARA SPAMMEARLO)
2.) No se, Yo soy nuevo en esto de manejar servidores y pos realmente no se mucho, por no decir nada ¿Hay alguna forma de enterarse si lo hacen por otra forma?.
PD. Otra que tenemos pensado es que se hayan hecho un script que llame al módulo que envía correos desde la página.
3.)     No entiendo.... Si he visto los logs, pero no entiendo que quieres decir con saturada.  
4.) La respuesta 2

Bueno, algo mas:
http://www.niiconsulting.com/tuaph1.html
http://www.faqs.org/docs/linux_network/index.html
http://www.linuxtopia.org/LinuxSecurity/index.html

lo que me refería saturada es que tengas montón de ficheros en la carpeta de qeue de ese emisor, eso sucede porq hay un uso intensivo de esa cola que es lo que esta sucediendo cuando te hacen lo de spammear.

Normalmente la dirección se repite saturando con los  ficheros, es decir llenandote la cola, sprerequisite@abins.com  como tu dices, no esperes para darlo de baja o bloquearlo si esta desde fuera. Tendras una opción para blacklist o bloquear la ip en qmail?.

Esto  suponiendo que no tengas un log, q esto mismo te saldria en el log.

Si no se resuelve el problema dando de baja al  elemento ese o metiendolo en una blacklist, ahi te sugieren politicas de seguridad y firewalls mas funcionales que los metodos manuales.  

En efecto, lo mejor seria poner un filtrado ip y un firewall bin cinfigurado, asi si tratan de atacar otro puerto solo tnedrias que bloquearlo con uno o dos comando (usando el firewall)
PD: Quita puertos inseguros (si es que tienes) como FTP, Telnet, RSH....

Los único que manejo son SSH y SCP, y pos los puertos que estén abiertos que me tocaría que ver cuales son, aunque no los posteo por que de pronto entre un gracioso y me jode peor.

empezamos con lo primero, para que carambas usas Qmail, no creo que tu trafico justifique el uso de esa cosa, te recomiendo que te regreses a Sendmail y a Dovecot para el pop e imap

de que pais eres?
luego cuantos usuarios tienes?

tengo varios servidores, algunos con redes bayesianas instalados para el uso de correo contra el SPAM, tal vez te pueda facilitar alguno dependiendo de tus necesidades en lo que buscas la solucion en tu propio server

empezamos con lo primero, para que carambas usas Qmail, no creo que tu trafico justifique el uso de esa cosa, te recomiendo que te regreses a Sendmail y a Dovecot para el pop e imap

de que pais eres?
luego cuantos usuarios tienes?

tengo varios servidores, algunos con redes bayesianas instalados para el uso de correo contra el SPAM, tal vez te pueda facilitar alguno dependiendo de tus necesidades en lo que buscas la solucion en tu propio server

1.) qmail se usa por que así estaba cuando yo entre a trabajar aca, y creo que va a ser imposible cambiarlo por que aquí son muy tercos.
2.) Cuando te refieres al tráfico lo dices por la cantidad de los 1000 mensajes, osea, te puedo decir que entre los clientes y nosotros no debemos enviar más de 100 o 150 al día.
3.) Lo del Sendmail y Dovecot lo investigare, pero como te digo sera difícil.
4.) Soy orgullosamente Colombiano.
5.) Deben ser unos 30 o 40 usuarios máximo 50.

No se si lo ultimo que me propones sea factible, como te digo de nuevo aca son muy tercos y TACAÑOS.

Gracias por todo.