Parece que alguém está usando meu servidor de e-mail para enviar spam. O que posso fazer para protegê-lo?

Navegue suas respostas
2

Nos últimos dois dias, vi algumas notificações misteriosas de "rejeição" por e-mail na minha caixa de entrada. Colado abaixo é o conteúdo bruto de um deles. Note que eu censurei meus próprios detalhes pessoais. O endereço to para todas essas mensagens é [email protected].

O servidor em questão é uma caixa do Ubuntu 9.10 executando Apache, Caucho, Resina e alguns outros processos não relacionados ao email. Tanto quanto sei, não tem o postfix instalado ( which postfix não retorna nada).

Que passos posso dar para diagnosticar e resolver o problema adequadamente? 

Delivered-To: [email protected]
Received: by 10.229.225.8 with SMTP id iq8cs88533qcb;
        Thu, 5 May 2011 15:41:30 -0700 (PDT)
Received: by 10.52.94.48 with SMTP id cz16mr99495vdb.173.1304635290759;
        Thu, 05 May 2011 15:41:30 -0700 (PDT)
Return-Path: <[email protected]>
Received: from mail-vx0-f171.google.com ([209.85.220.171])
        by mx.google.com with ESMTPS id n7si5967804qcu.16.2011.05.05.15.41.28
        (version=TLSv1/SSLv3 cipher=OTHER);
        Thu, 05 May 2011 15:41:29 -0700 (PDT)
Received-SPF: neutral (google.com: 209.85.220.171 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=209.85.220.171;
Authentication-Results: mx.google.com; spf=neutral (google.com: 209.85.220.171 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]; dkim=neutral (bad format) [email protected]
Received: by vxc40 with SMTP id 40so3365116vxc.30
        for <[email protected]>; Thu, 05 May 2011 15:41:28 -0700 (PDT)
Received: by 10.220.105.148 with SMTP id t20mr703005vco.238.1304635288618;
        Thu, 05 May 2011 15:41:28 -0700 (PDT)
X-Forwarded-To: [email protected]
X-Forwarded-For: [email protected] [email protected]
Delivered-To: [email protected]
Received: by 10.220.203.72 with SMTP id fh8cs98486vcb;
        Thu, 5 May 2011 15:41:28 -0700 (PDT)
Received: by 10.68.54.196 with SMTP id l4mr3727970pbp.13.1304635287983;
        Thu, 05 May 2011 15:41:27 -0700 (PDT)
Return-Path: <[email protected]>
Received: from frodo.hserus.net (frodo.hserus.net [204.74.68.40])
        by mx.google.com with ESMTP id w32si8772572wfd.110.2011.05.05.15.41.26;
        Thu, 05 May 2011 15:41:26 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 204.74.68.40 as permitted sender) client-ip=204.74.68.40;
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=lists.hserus.net; s=srs;
    h=Sender:List-Id:Date:Message-ID:To:From:Subject:Content-Transfer-Encoding:Content-Type:MIME-Version; bh=/sDnjRTvxfRohXXGvS67I68Cagtj6n4xakYy8dcr218=;
    b=otS4U0mrs56TlFehbxm530tNBxnHi4ty2qhoU6phY3JE4NXddCPCPC4DhYyprKPjcr6odZvuv/LU3Rp5CWFfx9zajBlXIVYbJaAOKGpkQsHHSvK+QWm/mfe7hsv0omRQsZzQ/u7wIgaZ/xq6xq1ZJ7s79lg9HUUifCbu4WQ9l30=;
Received: from [2001:4830:20b0:b::3] (port=39583 helo=frodo.hserus.net)
    by frodo.hserus.net with esmtp (Exim 4.72 #1)
    id 1QI7Ec-0007f0-Fq
    for <[email protected]>; Thu, 05 May 2011 15:41:26 -0700
MIME-Version: 1.0
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit
Subject: Your message to silklist awaits moderator approval
From: [email protected]
To: [email protected]
Message-ID: <[email protected]>
Date: Thu, 05 May 2011 15:40:01 -0700
Precedence: bulk
X-BeenThere: [email protected]
X-Mailman-Version: 2.1.13
List-Id: Intelligent Conversation <silklist.lists.hserus.net>
X-List-Administrivia: yes
Sender: [email protected]
Errors-To: [email protected]

Your mail to 'silklist' with the subject

    ??????????.........

Is being held until the list moderator can review it for approval.

The reason it is being held:

    Post by non-member to a members-only list

Either the message will get posted to the list, or you will receive
notification of the moderator's decision.  If you would like to cancel
this posting, please visit the following URL:

    http://lists.hserus.net/mailman/confirm/silklist/2a4fa5a64a95b7109163b7f78731fbd3d236be13
    
por Jordan Sitkin 06.05.2011 / 01:13

1 resposta

4

Uma prática normal de spammers é usar os endereços de e-mail de outras pessoas como o remetente. Esses endereços são coletados da mesma maneira que os endereços de destino. Além de verificar que as mensagens não foram realmente enviadas do seu sistema, não há nada que você possa fazer sobre isso.

Se as mensagens estão sendo enviadas do seu sistema, você precisa descobrir quem ou o que está fazendo o envio e tomar as ações apropriadas.

Se as mensagens estiverem sendo retransmitidas pelo seu sistema, assegure-se de que a retransmissão seja desativada imediatamente.

    
por 06.05.2011 / 01:21

Tags

No Linux, como congelar temporariamente um usuário? Não é possível obter o MVC3 em execução no IIS 7.5