Suspendido por SPAM



  • Hola, tengo problemas con mi proveedor de hosting, me han enviado un aviso de suspensión por SPAM, me mandan una copia de un LOG pero no sé interpretarlo y no ofrecen ayuda al respecto. No se como detectar que cuenta ha sido causante del SPAM para proceder con la solución, el proveedor me está enviando una carta que debo firmar de compromiso que de repetirse el evento se harán cargos de 150 usd por hora de afectación al los clientes del mismo servidor en que me encuentro.
    Necesito ayuda para estar seguro de que puedo resolverlo antes de que devuelva la carta firmada. Copio parte del Log que me enviaron solo he cambiado la IP de mi modem ADSL que vienen en el original. Espero que alguien pueda ayudarme. Gracias de antemano.

    Dec 20 14:41:08 s10121 qmail-queue-handlers[32101]: recipient[3] = 'j.orozco@vizcarra.com'
    Dec 20 14:41:08 s10121 qmail-queue-handlers[32101]: handlers dir = '/var/qmail//handlers/before-queue/recipient/j.orozco@vizcarra.com'
    Dec 20 14:41:08 s10121 qmail: 1324413668.310971 starting delivery 252: msg 21004599 to remote j.orozco@vizcarra.com
    Dec 20 14:41:08 s10121 qmail-remote-handlers[32105]: to=j.orozco@vizcarra.com
    Dec 20 14:41:08 s10121 qmail-queue-handlers[32111]: to=oroman@vizcarra.com
    Dec 20 14:41:08 s10121 qmail-queue-handlers[32111]: recipient[3] = 'oroman@vizcarra.com'
    Dec 20 14:41:08 s10121 qmail-queue-handlers[32111]: handlers dir = '/var/qmail//handlers/before-queue/recipient/oroman@vizcarra.com'
    Dec 20 14:41:08 s10121 qmail: 1324413668.754594 starting delivery 253: msg 21005180 to remote oroman@vizcarra.com
    Dec 20 14:41:08 s10121 qmail-remote-handlers[32114]: to=oroman@vizcarra.com
    Dec 20 14:41:09 s10121 qmail-queue-handlers[32120]: to=j.orozco@vizcarra.com
    Dec 20 14:41:09 s10121 qmail-queue-handlers[32120]: recipient[3] = 'j.orozco@vizcarra.com'
    Dec 20 14:41:09 s10121 qmail-queue-handlers[32120]: handlers dir = '/var/qmail//handlers/before-queue/recipient/j.orozco@vizcarra.com'
    Dec 20 14:41:09 s10121 qmail: 1324413669.998517 starting delivery 254: msg 21004599 to remote j.orozco@vizcarra.com
    Dec 20 14:41:10 s10121 qmail-remote-handlers[32122]: to=j.orozco@vizcarra.com
    Dec 20 14:41:10 s10121 qmail-queue-handlers[32128]: to=oroman@vizcarra.com
    Dec 20 14:41:10 s10121 qmail-queue-handlers[32128]: recipient[3] = 'oroman@vizcarra.com'
    Dec 20 14:41:10 s10121 qmail-queue-handlers[32128]: handlers dir = '/var/qmail//handlers/before-queue/recipient/oroman@vizcarra.com'
    Dec 20 14:41:10 s10121 qmail: 1324413670.529361 starting delivery 255: msg 21005169 to remote oroman@vizcarra.com
    Dec 20 14:41:10 s10121 qmail-remote-handlers[32130]: to=oroman@vizcarra.com
    Dec 20 14:41:11 s10121 qmail-queue-handlers[32136]: to=j.orozco@vizcarra.com
    Dec 20 14:41:11 s10121 qmail-queue-handlers[32136]: recipient[3] = 'j.orozco@vizcarra.com'
    Dec 20 14:41:11 s10121 qmail-queue-handlers[32136]: handlers dir = '/var/qmail//handlers/before-queue/recipient/j.orozco@vizcarra.com'
    Dec 20 14:41:11 s10121 qmail: 1324413671.671058 starting delivery 256: msg 21004599 to remote j.orozco@vizcarra.com
    Dec 20 14:41:11 s10121 qmail-remote-handlers[32138]: to=j.orozco@vizcarra.com
    Dec 20 14:41:12 s10121 qmail-queue-handlers[32149]: to=oroman@vizcarra.com
    Dec 20 14:41:12 s10121 qmail-queue-handlers[32149]: recipient[3] = 'oroman@vizcarra.com'
    Dec 20 14:41:12 s10121 qmail-queue-handlers[32149]: handlers dir = '/var/qmail//handlers/before-queue/recipient/oroman@vizcarra.com'
    Dec 20 14:41:12 s10121 qmail: 1324413672.229052 starting delivery 257: msg 21005169 to remote oroman@vizcarra.com
    Dec 20 14:41:12 s10121 qmail-remote-handlers[32154]: to=oroman@vizcarra.com
    Dec 20 14:41:13 s10121 qmail-queue-handlers[32165]: to=j.orozco@vizcarra.com
    Dec 20 14:41:13 s10121 qmail-queue-handlers[32165]: recipient[3] = 'j.orozco@vizcarra.com'
    Dec 20 14:41:13 s10121 qmail-queue-handlers[32165]: handlers dir = '/var/qmail//handlers/before-queue/recipient/j.orozco@vizcarra.com'
    Dec 20 14:41:13 s10121 qmail: 1324413673.329450 starting delivery 259: msg 21004599 to remote j.orozco@vizcarra.com
    Dec 20 14:41:13 s10121 qmail-remote-handlers[32167]: to=j.orozco@vizcarra.com
    Dec 20 14:41:13 s10121 qmail-queue-handlers[32174]: to=oroman@vizcarra.com
    Dec 20 14:41:13 s10121 qmail-queue-handlers[32174]: recipient[3] = 'oroman@vizcarra.com'
    Dec 20 14:41:13 s10121 qmail-queue-handlers[32174]: handlers dir = '/var/qmail//handlers/before-queue/recipient/oroman@vizcarra.com'
    Dec 20 14:41:13 s10121 qmail: 1324413673.962442 starting delivery 260: msg 21005169 to remote oroman@vizcarra.com
    Dec 20 14:41:13 s10121 qmail-remote-handlers[32176]: to=oroman@vizcarra.com
    Dec 20 14:41:15 s10121 qmail-queue-handlers[32184]: to=j.orozco@vizcarra.com
    Dec 20 14:41:15 s10121 qmail-queue-handlers[32184]: recipient[3] = 'j.orozco@vizcarra.com'
    Dec 20 14:41:15 s10121 qmail-queue-handlers[32184]: handlers dir = '/var/qmail//handlers/before-queue/recipient/j.orozco@vizcarra.com'
    Dec 20 14:41:15 s10121 qmail: 1324413675.409916 starting delivery 261: msg 21004599 to remote j.orozco@vizcarra.com
    Dec 20 14:41:15 s10121 qmail-remote-handlers[32188]: to=j.orozco@vizcarra.com
    Dec 20 14:41:15 s10121 qmail-queue-handlers[32193]: to=oroman@vizcarra.com
    Dec 20 14:41:15 s10121 qmail-queue-handlers[32193]: recipient[3] = 'oroman@vizcarra.com'
    Dec 20 14:41:15 s10121 qmail-queue-handlers[32193]: handlers dir = '/var/qmail//handlers/before-queue/recipient/oroman@vizcarra.com'
    Dec 20 14:41:15 s10121 qmail: 1324413675.846468 starting delivery 262: msg 21005180 to remote oroman@vizcarra.com
    Dec 20 14:41:15 s10121 qmail-remote-handlers[32195]: to=oroman@vizcarra.com
    Dec 20 14:41:17 s10121 qmail-queue-handlers[32202]: to=j.orozco@vizcarra.com
    Dec 20 14:41:17 s10121 qmail-queue-handlers[32202]: recipient[3] = 'j.orozco@vizcarra.com'
    Dec 20 14:41:17 s10121 qmail-queue-handlers[32202]: handlers dir = '/var/qmail//handlers/before-queue/recipient/j.orozco@vizcarra.com'
    Dec 20 14:41:17 s10121 qmail: 1324413677.194928 starting delivery 263: msg 21004599 to remote j.orozco@vizcarra.com
    Dec 20 14:41:17 s10121 qmail-remote-handlers[32204]: to=j.orozco@vizcarra.com
    Dec 20 14:41:17 s10121 qmail-queue-handlers[32210]: to=oroman@vizcarra.com
    Dec 20 14:41:17 s10121 qmail-queue-handlers[32210]: recipient[3] = 'oroman@vizcarra.com'
    Dec 20 14:41:17 s10121 qmail-queue-handlers[32210]: handlers dir = '/var/qmail//handlers/before-queue/recipient/oroman@vizcarra.com'
    Dec 20 14:41:17 s10121 qmail: 1324413677.638959 starting delivery 264: msg 21005180 to remote oroman@vizcarra.com
    Dec 20 14:41:17 s10121 qmail-remote-handlers[32212]: to=oroman@vizcarra.com
    Dec 20 14:41:18 s10121 qmail-queue-handlers[32218]: to=j.orozco@vizcarra.com
    Dec 20 14:41:18 s10121 qmail-queue-handlers[32218]: recipient[3] = 'j.orozco@vizcarra.com'
    Dec 20 14:41:18 s10121 qmail-queue-handlers[32218]: handlers dir = '/var/qmail//handlers/before-queue/recipient/j.orozco@vizcarra.com'
    Dec 20 14:41:18 s10121 qmail: 1324413678.897322 starting delivery 265: msg 21004599 to remote j.orozco@vizcarra.com
    Dec 20 14:41:18 s10121 qmail-remote-handlers[32220]: to=j.orozco@vizcarra.com
    Dec 20 14:41:19 s10121 qmail-queue-handlers[32226]: to=oroman@vizcarra.com
    Dec 20 14:41:19 s10121 qmail-queue-handlers[32226]: recipient[3] = 'oroman@vizcarra.com'
    Dec 20 14:41:19 s10121 qmail-queue-handlers[32226]: handlers dir = '/var/qmail//handlers/before-queue/recipient/oroman@vizcarra.com'
    Dec 20 14:41:19 s10121 qmail: 1324413679.376086 starting delivery 266: msg 21005169 to remote oroman@vizcarra.com
    Dec 20 14:41:19 s10121 qmail-remote-handlers[32228]: to=oroman@vizcarra.com
    Dec 20 14:41:20 s10121 qmail-queue-handlers[32234]: to=j.orozco@vizcarra.com
    Dec 20 14:41:20 s10121 qmail-queue-handlers[32234]: recipient[3] = 'j.orozco@vizcarra.com'
    Dec 20 14:41:20 s10121 qmail-queue-handlers[32234]: handlers dir = '/var/qmail//handlers/before-queue/recipient/j.orozco@vizcarra.com'
    Dec 20 14:41:20 s10121 qmail: 1324413680.627815 starting delivery 267: msg 21004599 to remote j.orozco@vizcarra.com
    Dec 20 14:41:20 s10121 qmail-remote-handlers[32237]: to=j.orozco@vizcarra.com
    Dec 20 14:41:21 s10121 qmail-queue-handlers[32245]: to=oroman@vizcarra.com
    Dec 20 14:41:21 s10121 qmail-queue-handlers[32245]: recipient[3] = 'oroman@vizcarra.com'
    Dec 20 14:41:21 s10121 qmail-queue-handlers[32245]: handlers dir = '/var/qmail//handlers/before-queue/recipient/oroman@vizcarra.com'
    Dec 20 14:41:21 s10121 qmail: 1324413681.085103 starting delivery 268: msg 21005169 to remote oroman@vizcarra.com
    Dec 20 14:41:21 s10121 qmail-remote-handlers[32248]: to=oroman@vizcarra.com
    Dec 20 14:41:22 s10121 qmail-queue-handlers[32257]: to=j.orozco@vizcarra.com
    Dec 20 14:41:22 s10121 qmail-queue-handlers[32257]: recipient[3] = 'j.orozco@vizcarra.com'
    Dec 20 14:41:22 s10121 qmail-queue-handlers[32257]: handlers dir = '/var/qmail//handlers/before-queue/recipient/j.orozco@vizcarra.com'
    Dec 20 14:41:22 s10121 qmail: 1324413682.631596 starting delivery 269: msg 21004599 to remote j.orozco@vizcarra.com
    Dec 20 14:41:22 s10121 qmail-remote-handlers[32261]: to=j.orozco@vizcarra.com
    Dec 20 14:41:23 s10121 qmail-queue-handlers[32266]: to=oroman@vizcarra.com
    Dec 20 14:41:23 s10121 qmail-queue-handlers[32266]: recipient[3] = 'oroman@vizcarra.com'
    Dec 20 14:41:23 s10121 qmail-queue-handlers[32266]: handlers dir = '/var/qmail//handlers/before-queue/recipient/oroman@vizcarra.com'
    Dec 20 14:41:23 s10121 qmail: 1324413683.084318 starting delivery 270: msg 21005180 to remote oroman@vizcarra.com
    Dec 20 14:41:23 s10121 qmail-remote-handlers[32273]: to=oroman@vizcarra.com

    Dec 20 14:41:26 s10121 pop3d: IMAP connect from @ [189.0.0.0]INFO: LOGIN, user=aibarra@vizcarra.com, ip=[189.0.0.0]
    Dec 20 14:41:26 s10121 pop3d: 1324413686.382910 LOGOUT, user=aibarra@vizcarra.com, ip=[189.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/vizcarra.com/aibarra/Maildir
    Dec 20 14:41:28 s10121 imapd: IMAP connect from @ [127.0.0.1]INFO: LOGIN, user=mtlucas@vizcarra.com, ip=[127.0.0.1], protocol=IMAP
    Dec 20 14:41:29 s10121 imapd: IMAP connect from @ [127.0.0.1]INFO: LOGIN, user=mtlucas@vizcarra.com, ip=[127.0.0.1], protocol=IMAP
    Dec 20 14:41:29 s10121 imapd: 1324413689.506689 LOGOUT, user=mtlucas@vizcarra.com, ip=[127.0.0.1], headers=0, body=0, rcvd=101, sent=468, maildir=/var/qmail/mailnames/vizcarra.com/mtlucas/Maildir
    Dec 20 14:41:29 s10121 imapd: 1324413689.515239 LOGOUT, user=mtlucas@vizcarra.com, ip=[127.0.0.1], headers=0, body=0, rcvd=333, sent=876, maildir=/var/qmail/mailnames/vizcarra.com/mtlucas/Maildir
    Dec 20 14:41:31 s10121 imapd: IMAP connect from @ [127.0.0.1]INFO: LOGIN, user=mtlucas@vizcarra.com, ip=[127.0.0.1], protocol=IMAP
    Dec 20 14:41:31 s10121 imapd: 1324413691.609948 LOGOUT, user=mtlucas@vizcarra.com, ip=[127.0.0.1], headers=0, body=0, rcvd=106, sent=366, maildir=/var/qmail/mailnames/vizcarra.com/mtlucas/Maildir
    Dec 20 14:41:36 s10121 imapd: IMAP connect from @ [127.0.0.1]INFO: LOGIN, user=mtlucas@vizcarra.com, ip=[127.0.0.1], protocol=IMAP
    Dec 20 14:41:37 s10121 imapd: 1324413697.308795 LOGOUT, user=mtlucas@vizcarra.com, ip=[127.0.0.1], headers=0, body=0, rcvd=319, sent=1168, maildir=/var/qmail/mailnames/vizcarra.com/mtlucas/Maildir
    Dec 20 14:41:46 s10121 pop3d: IMAP connect from @ [189.0.0.0]INFO: LOGIN, user=mtlucas@vizcarra.com, ip=[189.0.0.0]
    Dec 20 14:41:46 s10121 pop3d: 1324413706.333990 LOGOUT, user=mtlucas@vizcarra.com, ip=[189.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/vizcarra.com/mtlucas/Maildir
    Dec 20 14:42:04 s10121 pop3d: IMAP connect from @ [189.0.0.0]INFO: LOGIN, user=mtlucas@vizcarra.com, ip=[189.0.0.0]
    Dec 20 14:42:04 s10121 pop3d: 1324413724.450434 LOGOUT, user=mtlucas@vizcarra.com, ip=[189.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/vizcarra.com/mtlucas/Maildir
    Dec 20 14:42:26 s10121 pop3d: IMAP connect from @ [189.0.0.0]INFO: LOGIN, user=aibarra@vizcarra.com, ip=[189.0.0.0]
    Dec 20 14:42:26 s10121 pop3d: 1324413746.988078 LOGOUT, user=aibarra@vizcarra.com, ip=[189.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/vizcarra.com/aibarra/Maildir
    Dec 20 14:42:35 s10121 pop3d: IMAP connect from @ [189.0.0.0]INFO: LOGIN, user=mtlucas@vizcarra.com, ip=[189.0.0.0]
    Dec 20 14:42:35 s10121 pop3d: 1324413755.361484 LOGOUT, user=mtlucas@vizcarra.com, ip=[189.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/vizcarra.com/mtlucas/Maildir
    Dec 20 14:42:35 s10121 imapd-ssl: IMAP connect from @ [74.82.82.220]INFO: LOGIN, user=avizcarra@vizcarra.com, ip=[74.82.82.220], protocol=IMAP
    Dec 20 14:42:35 s10121 imapd-ssl: 1324413755.873693 LOGOUT, user=avizcarra@vizcarra.com, ip=[74.82.82.220], headers=0, body=0, rcvd=60, sent=463, maildir=/var/qmail/mailnames/vizcarra.com/avizcarra/Maildir
    Dec 20 14:42:41 s10121 imapd: IMAP connect from @ [127.0.0.1]INFO: LOGIN, user=mtlucas@vizcarra.com, ip=[127.0.0.1], protocol=IMAP
    Dec 20 14:42:42 s10121 imapd: 1324413762.32777 LOGOUT, user=mtlucas@vizcarra.com, ip=[127.0.0.1], headers=0, body=0, rcvd=319, sent=1168, maildir=/var/qmail/mailnames/vizcarra.com/mtlucas/Maildir
    Dec 20 14:43:07 s10121 qmail-remote-handlers[32739]:
    from=mrivera@vizcarra.com



  • ¿Quién es para tí vizcarra.com ?

    Nombre:  vizcarra.com
    Address:  205.251.131.57

    Nombre:  mail.vizcarra.com
    Address:  205.251.131.57

    ¿Quién es para tí 189.0.0.0 ?

    Nombre:  ip-189-0-0-0.user.vivozap.com.br
    Address:  189.0.0.0

    ¿Quién es para tí 74.82.82.220 ?

    Nombre:  bda-74-82-82-220.bis6.us.blackberry.com
    Address:  74.82.82.220

    ¿Es tuyo este servidor de correo llamado s10121 ?

    El log que posteas es un maillog de un servidor de correo que tiene qmail como SMTP,  pop3d como POP3 e imapd como IMAP. A mi este log no me dice nada de spam en principio.

    Si nos aclaras las preguntas anteriores podremos decirte más…



  • Hola, gracias por tu atención, respondo las preguntas:
    vizcarra.com es mi dominio, está alojado en un servidor publico manejado por un proveedor de estos servicios.
    189.0.0.0 es la IP (modificada) de mi enlace a internet (la ip pública del modem ADSL)
    72.82.82.220 debe ser la direccion de quién me envió el log.
    El servidor s10121 es del proveedor de hosting y correos
    Los usuarios de mi red descargan y envían correos usando Outlook Express y win XP, o mail de Win Vista, y Outlook de Office 2007.



  • 189.0.0.0 es la IP (modificada) de mi enlace a internet (la ip pública del modem ADSL)

    ¿En base a qué pusiste esta dirección? ¿Estás en México o en Brasil?



  • Estoy en méxico la direccion es 189.226.106.133



  • ¿Y qué haces con una IP de Brasil que no es tuya?

    Me refiero a la 189.0.0.0

    No puedes emplear direcciones IP públicas que no te pertenezcan o que te hayan sido asignadas por tu proveedor de Internet.

    A parte de esto no veo nada en registro para calificarlo de spam.



  • Creo que no me expliqué bien respecto de la direccion 189.0.0.0, esa la modifiqué en mi ejemplo del LOG, no es la que uso, sustituí el dato original en el ejemplo del LOG.

    Estoy tratando de poner un Sniffer en mi red para verificar si hay algún equipo de la red generando SPAM, mi configuración de salida a internet la envío en imagen adjunta, ¿ que me sugieres para poder detectar a ese equipo ?

    Gracias por la ayuda.




  • Cuando no quieras publicar una dirección IP pónle letras en lugar de números. Ejemplo: AAA.BBB.CCC.DDD

    Bueno…

    ¡Eso es fácil!

    Deja salir sólo estos puertos de destino:

    TCP/UDP 53 (si dejas resolver DNS fuera. Yo ni eso dejo, tengo DNS interno -pfSense u otro-).
    TCP 80 (navegación HTTP)
    TCP 443 (navegación HTTPS)
    TCP 8000-8100 (hay bastantes servidores web que emplean este rango como HTTP alternativo)
    UDP 123 (si dejas sincronizar reloj fuera. Tampoco dejo, tengo NTP interno -pfSense u otro-).

    Para detectar quien maneja correo:

    Transferir correo SMTP: destino TCP 25
    Transferir correo IMAP: destino TCP 220 (si no me equivoco)
    Leer correo POP3: destino TCP 110
    Leer correo POP3 SSL: destino TCP 995

    Pon reglas para estos puertos de destino que autoricen ir sólo como destino la IP de tu servidor de correo. No podrán emitir ni recoger correo en otros servidores, a menos que empleen un cliente de correo vía web.

    Puedes marcar que quieres log de esas reglas e incluso enviar los logs de pfSense a un servidor de logs.

    Si quieres saber qué máquinas hacen spam pon reglas que denieguen esos puertos de destino y marca que generen logs. Ya tendrás tu sniffer.

    Saludos,

    Josep Pujadas


Log in to reply