Detectar envio spam



  • Hola a todos!
    Tengo un problema que me esta volviendo un poco loco,
    Tengo una red con un servidor interno Exchange, y llevo varios dias que estan utilizando mi SMTP para enviar spam, sobretodo:
    service@westernunion.com y paypal.com
    Mi pregunta es si podria detectar que PC es el que esta infectado ayudandome de las herramientas de PfSense.
    El esquema es:
    WAN–> PFSENSE-->LAN

    Gracias y saludos.



  • Si te están haciendo esto quiere decir que tu Exchange está mal configurado y admite "dejar" correo en él sin autentificación de usuario.

    O quizás sea una máquina con Outlook infectado, como dices.

    Bueno, de entrada mira [Diagnostics] [States] en momentos en que se supone que no debería haber clientes enviando correos.

    ¡Suerte!



  • Puedes bloquear todos los puertos salientes SMTP excepto el de tu exchange server para ver si realmente es el responsable de tu spam y no otra maquina de tu red infectada!
    Tambien si entras x ssh al pfsense puedes monitorear todos los mails salientes para determinar quien esta enviando

    tcpdump -v -i <interfase wan="">src host <wan ip="">and dst port 25</wan></interfase>



  • [Diagnostics] [States] solo se ven las conexiones por IP como se podria ver si esta enviando spam
    a mi tambien me tiene loco este problema!!



  • Tendrías que explicar tu instalación… ¿Tienes un servidor de correo? ¿O simplemente son clientes de correo (tipo Outlook) que reciben spam)?

    Detectar spam no es evidente. Puedes ver en [Diagnostics] [States] las máquinas que están yendo a destinos con puerto 25 (SMTP) pero pueden ser conexiones lícitas. Por eso decía de mirarlo en un momento en que se suponga que los usuarios no están enviando correo por ellos mismos.

    [OT] Para evitar spam hay que emplear varios métodos, a nivel del servidor de correo:

    Lo mejor es combinarlos todos y es complicado de ajustar bien.


Log in to reply