Autor Tema: Nuestro servidor de correo incluido en listas de spam  (Leído 7661 veces)

Colegota

  • Palizas oficial
  • *
  • Mensajes: 8188
  • ¡Me faltan carretes!
    • ¡Me faltan carretes!
Buenas,

desde el viernes pasado, el servidor de correo en el que está entre otros el dominio fotolibre.net está siendo añadido a listas de spam y consecuencia de ello muchos mensajes son devueltos en ambos sentidos.

El servicio técnico no está siendo muy eficiente y además, el fin de semana migraron el sistema de tickets de soporte por lo que estuvieron desconectados y desde entonces apenas he tenido dos respuestas y no muy prácticas.

De lo poco que me han dicho es que mire los logs, pero el fichero /var/log/exim_mainlog tiene demasiada información y no tengo muy claro qué buscar.

Aparecemos en sitios como este http://www.spamhaus.org/query/ip/209.217.238.132# que luego apunta aquí http://cbl.abuseat.org/lookup.cgi?ip=209.217.238.132# o también en http://www.sorbs.net/cgi-bin/db#. Con cualquiera que intentas hablar tienes que registrarte y luego te responden con automáticos que vienen a decir que como eres muy malo y mandas spam que ahora te esperes.

En CBL/Spamhaus se ha pedido dos veces que nos quiten de la lista pero nos vuelven a incluir porque detectan nueva actividad, aunque no la especifican, lo que hace casi imposible saber de qué se trata. La última ha sido sobre las 7h hora española por lo que entiendo que más que una persona puede haber un uso indebido del servidor.

El servidor está en un VPS desde el que se albergan varios dominios. Las cuentas de correo son de tipo personal o de administración de CMS como WordPress o este foro en SMF que también envían correos para notificaciones a usuarios y admins. Existe la posibilidad de que algún usuario de correo tenga su ordenador infectado y se use su cuenta o que haya algún problema de seguridad y se esté usando de alguna forma por "externos".

Yo estoy muy verde en estas cosas y buscando por Internet no encuentro nada, de momento, que ayude.

Si alguien con experiencia puede echar una mano se agradecería.

Saludos,
Colegota
[Canon EOS 50 40D (sin diapos ni nada)] [Escáner Minolta DSE 5400] [Vuescan] [El GIMP] [Galería] [Página de Viajes]

Manolo

  • Bimilenari@
  • **
  • Mensajes: 2876
  • No dejes que la realidad te arruine una buena foto
    • Mi galeria en Ipernity
Re: Nuestro servidor de correo incluido en listas de spam
« Respuesta #1 on: 24 abr 2013, 07:46 am »
Buenas,

desde el viernes pasado, el servidor de correo en el que está entre otros el dominio fotolibre.net está siendo añadido a listas de spam y consecuencia de ello muchos mensajes son devueltos en ambos sentidos.

El servicio técnico no está siendo muy eficiente y además, el fin de semana migraron el sistema de tickets de soporte por lo que estuvieron desconectados y desde entonces apenas he tenido dos respuestas y no muy prácticas.

De lo poco que me han dicho es que mire los logs, pero el fichero /var/log/exim_mainlog tiene demasiada información y no tengo muy claro qué buscar.

Cuando dices "servidor de correo"... ¿te refieres al SMTP? Supongo que sí, que es lo que da más problemas de gestionar y afinar (y evitar que se use desde fuera de forma abusiva).

La otra fuente de problema puede ser la falsa impersonación del emisor de correo, que se hace pasar por pepito@fotolibre.net. Pero creo que esas cosas ya no engañan a los detectores de spam.

Por tanto, ¿cómo está configurado el SMPT de fotolibre? ¿Hay algún método de autenticación? ¿Está abierto? Si es así, mejor cerrarlo con contraseña y alguna otra medida que seguro redy y otros gurús saben.
Ubuntu & Debian, Nikon D40X Nikon D5100
ufraw, photivo, imagemagick, gimp, pantools
Artículos y fotos bajo licencia CC-BY

Colegota

  • Palizas oficial
  • *
  • Mensajes: 8188
  • ¡Me faltan carretes!
    • ¡Me faltan carretes!
Re: Nuestro servidor de correo incluido en listas de spam
« Respuesta #2 on: 24 abr 2013, 08:12 am »
Cuando dices "servidor de correo"... ¿te refieres al SMTP? Supongo que sí, que es lo que da más problemas de gestionar y afinar (y evitar que se use desde fuera de forma abusiva).

Sí.

La otra fuente de problema puede ser la falsa impersonación del emisor de correo, que se hace pasar por pepito@fotolibre.net. Pero creo que esas cosas ya no engañan a los detectores de spam.

Pensé que podía ser eso porque yo estaba mandando correos de gmail con mi cuenta de villanos (que también está en el mismo servidor), pero dejé de hacerlo y sigue pasando. (1)

Por tanto, ¿cómo está configurado el SMPT de fotolibre? ¿Hay algún método de autenticación? ¿Está abierto? Si es así, mejor cerrarlo con contraseña y alguna otra medida que seguro redy y otros gurús saben.

Eso es lo que no tengo ni idea. Estas cosas te las dan configuradas cuando contratas el hospedaje y se encarga el servicio técnico de mantenerlas. En la administración vía web (WHM) no encuentro nada que ayude en este caso.

Lo más destacado que encuentro es que hay más de 2800 rechazos de una IP 79.190.186.90 que parece ser de una telefónica polaca, pero que paran de enviar hace dos días, por lo que descarto que sean ellos ya que el último es de las 6 de la mañana (antes dije las 7) y además no se si esto es que nos están escribiendo desde una cuenta de allí, es decir nos hacen spam a nosotros o si usan el servidor. La verdad es que me extrañaría que tuviésemos un agujero.
Cita
2013-04-22 03:47:25 H=irf90.internetdsl.tpnet.pl [79.190.186.90] temporarily rejected connection in "connect" ACL: "Host is ratelimited (43.0/1h max:1.2)"

(1) El uso de un servidor diciendo que eres otra cuenta de correo no es necesariamente spam y era práctica común antes de que existiesen estas cosas. Tuve que hacerlo en un momento en que gmail obligaba a que para escribir con su cuenta desde un cliente de correo tuvieras sesión abierta en el navegador. Yo uso un par de cuentas colectivas de gmail con las que tengo que escribir de vez en cuando y por eso lo tenía así. Ahora parece que han quitado la restricción del navegador así que ya vuelvo a autentificarme en el smtp de gmail pero el problema persiste, por lo que no era eso.

[Canon EOS 50 40D (sin diapos ni nada)] [Escáner Minolta DSE 5400] [Vuescan] [El GIMP] [Galería] [Página de Viajes]

Manolo

  • Bimilenari@
  • **
  • Mensajes: 2876
  • No dejes que la realidad te arruine una buena foto
    • Mi galeria en Ipernity
Re: Nuestro servidor de correo incluido en listas de spam
« Respuesta #3 on: 24 abr 2013, 08:29 am »


Por tanto, ¿cómo está configurado el SMPT de fotolibre? ¿Hay algún método de autenticación? ¿Está abierto? Si es así, mejor cerrarlo con contraseña y alguna otra medida que seguro redy y otros gurús saben.

Eso es lo que no tengo ni idea. Estas cosas te las dan configuradas cuando contratas el hospedaje y se encarga el servicio técnico de mantenerlas. En la administración vía web (WHM) no encuentro nada que ayude en este caso.


Lo preguntaré de otra forma: cuando envías correos desde tu cliente habitual... ¿usas el SMTP de fotolibre? Si es así, ¿cómo está configurado el SMTP en tu cliente?
Ubuntu & Debian, Nikon D40X Nikon D5100
ufraw, photivo, imagemagick, gimp, pantools
Artículos y fotos bajo licencia CC-BY

Colegota

  • Palizas oficial
  • *
  • Mensajes: 8188
  • ¡Me faltan carretes!
    • ¡Me faltan carretes!
Re: Nuestro servidor de correo incluido en listas de spam
« Respuesta #4 on: 24 abr 2013, 08:34 am »
Con autentificación por usuario y contraseña.
[Canon EOS 50 40D (sin diapos ni nada)] [Escáner Minolta DSE 5400] [Vuescan] [El GIMP] [Galería] [Página de Viajes]

Colegota

  • Palizas oficial
  • *
  • Mensajes: 8188
  • ¡Me faltan carretes!
    • ¡Me faltan carretes!
Re: Nuestro servidor de correo incluido en listas de spam
« Respuesta #5 on: 25 abr 2013, 07:02 am »
Buenas,

ayer de una de las listas que nos habían bloqueado mandaron un correo diciendo que como llevábamos 48h sin mandar nos liberaban y nos mandaban un ejemplo de presunto spam desde nuestro servidor. Al ejemplo ni le habían puesto las cabeceras y habían cortado casi todo, pero había datos que deberían haber salido en los logs y no aparecían. Por cierto, en otras sí que había habido denuncias en esas 48h.

Hoy nos han enviado otro del sábado 20, esta vez sí con cabeceras completas que tampoco aparece por nuestros logs. Una referencia junto al "sender" dice client-ip=(la nuestra).

Esto me hace pensar si hay alguna forma de simular desde un ordenador que estás enviando con otra o si puede de alguna forma haber una ip asignada en dos máquinas diferentes. :?

He propuesto al servicio técnico un cambio de IP.

Saludos,
Colegota
[Canon EOS 50 40D (sin diapos ni nada)] [Escáner Minolta DSE 5400] [Vuescan] [El GIMP] [Galería] [Página de Viajes]

tat

  • Moderador
  • Palizas oficial
  • *****
  • Mensajes: 9622
  • Patch y buenas vibraciones
    • Libertat
Re: Nuestro servidor de correo incluido en listas de spam
« Respuesta #6 on: 25 abr 2013, 07:24 am »
jodé que rollo, no entiendo nada pero lo de la ip duplicada no debería ser posible. Pero lo de asignar en las cabeceras una ip falsa si que me suena algo más... a ver si tengo un rato y lo miro.

Colegota

  • Palizas oficial
  • *
  • Mensajes: 8188
  • ¡Me faltan carretes!
    • ¡Me faltan carretes!
Re: Nuestro servidor de correo incluido en listas de spam
« Respuesta #7 on: 25 abr 2013, 09:07 am »
Esta es la última respuesta del servicio técnico.

Cita
I see that your IP was listed in blacklists as spam source so I delisted it and changed your firewall rules to help prevent outgoing spam from your vps , please allow 24 hours for IP reputation to catch up and then retry .

Que van a cambiar las reglas del cortafuegos para impedir que sea usado para enviar spam. Digo yo que esas cosas, de ser así, deberían venir por defecto. Aunque sigo pensando que se está "fingiendo" de alguna manera que se envía con nuestra IP, porque en nuestros logs debería haber rastro. Con lo que me temo que esto va a seguir. :( Ojalá me equivoque.

Por cierto, cada respuesta nos la da un técnico de soporte diferente. No se yo muy bien qué organización tienen ahí. Hace unos meses se fusionaron (o fueron absorbidos, no recuerdo) por otra compañía y me temo que no se aclaran mucho.
[Canon EOS 50 40D (sin diapos ni nada)] [Escáner Minolta DSE 5400] [Vuescan] [El GIMP] [Galería] [Página de Viajes]

JoRdi

  • Palizas oficial
  • *
  • Mensajes: 10191
Re: Nuestro servidor de correo incluido en listas de spam
« Respuesta #8 on: 28 abr 2013, 14:28 pm »
Hola,

Espero que podáis solucionar el problema, ¡menuda faena!

A rev3ure