Tareas #3522

Problemas con envío de correo por falso SPAM

Added by Victor Alem over 7 years ago. Updated about 1 year ago.

Status:En cursoStart date:10/13/2014
Priority:UrgenteDue date:
Assignee:Cielito - Coord. regional% Done:

70%

Category:-Spent time:13.00 hours
Target version:-

Description

El problema que reportamos en la tarea #3113 respecto al servidor de listas, ahora se extendió al servidor de correo alojado en Godel (en principio, puede que también le suceda lo mismo a Dirac).

Varios usuarios de correos institucionales del CURE han reportado que cuando envían correos desde el zimbra a GMail, estos no llegan a destino (posiblemente pase lo mismo con Yahoo y Hotmail).

Las pruebas que he hecho no he recibido rebotes, puede que hayamos sido puestos en lista negra.

20141014Num_msg_godel.png - Numero de mensajes en godel (80.6 KB) Daniel Viñar Ulriksen, 10/14/2014 08:33 AM

2014-10-28_09-07-12_numero_msg_godel.png - Cantidad de mensajes en godel (94.5 KB) Daniel Viñar Ulriksen, 10/28/2014 09:10 AM

CUP-direcciones-reenvio.txt Magnifier - todas las cuentas que tienen reenvíos configurados del CUP (2.25 KB) Andrés Pías, 10/28/2014 02:42 PM

esnilreenvioinfo.png - reenvío a dirección externa esnil (48.3 KB) Andrés Pías, 10/28/2014 02:42 PM

Godel_num_mensajes2014-11-08_13-43-07.png - Gráficos número de mensajes enviados de godel (98.5 KB) Daniel Viñar Ulriksen, 11/08/2014 01:48 PM

1778
1825
1827
1850

Related issues

Related to Listas de correo - Errores #3113: problemas de rebotes en las direcciones de yahoo Cerrada 07/03/2014
Related to Correo electrónico - Tareas #3527: Redactar un mensaje y armar una página web de sensibiliza... Cerrada 10/15/2014
Related to Correo electrónico - Tareas #1723: Estudiar y definir SPFs Rechazada 08/07/2013
Related to Postulaciones posgrados - Errores #3615: Problema envío de correos Cerrada 11/03/2014
Related to Correo electrónico - Tareas #3625: Blacklisteos en Davinci Cerrada 11/05/2014
Related to Correo electrónico - Tareas #3654: Elementos de corta-fuegos contra el SPAM Nueva 11/08/2014
Related to Correo electrónico - Tareas #3655: Definir casillas rfc 2142 en nuestros dominios En curso 11/08/2014
Related to Correo electrónico - Tareas #4376: Blacklisteo de Dirac Por Hotmail Cerrada 05/06/2015

History

#1 Updated by Andrés Pías over 7 years ago

Sería bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema).

#2 Updated by Andrés Pías over 7 years ago

Hoy tenemos un reporte de una persona en el CUP. Esnil Acosta, quien tenía un virus en su máquina hace unos días spameo a todas las cuentas de godel. Hoy puede mandar correos pero no puede recibir.

#3 Updated by Daniel Viñar Ulriksen over 7 years ago

En la consola se ven en diferidos más de 5000 correos de spam: provienen de una IP en India, de una dirección usurpada, a múltiples destinatarios).

Por otro lado, los logs pararon por falta de espacio: /var de 5Mb llena.

#5 Updated by Daniel Viñar Ulriksen over 7 years ago

  • % Done changed from 0 to 20

#7 Updated by Daniel Viñar Ulriksen over 7 years ago

  • Status changed from Nueva to En curso

En realidad, la cuenta ya estaba bloqueada... ¿Víctor, la bloqueaste vos?

#8 Updated by Daniel Viñar Ulriksen over 7 years ago

Bloqueo a fuego, por firewall iptables, la IP 100.64.50.109, de la cual venían múltiples correos de SPAM. Aún no me queda muy claro como---> ¿cuenta usurpada y acceso smtp?

#9 Updated by Daniel Viñar Ulriksen over 7 years ago

Hoy tenemos un reporte de una persona en el CUP. Esnil Acosta, quien tenía un virus en su máquina hace unos días spameo a todas las cuentas de godel. Hoy puede mandar correos pero no puede recibir.

bloqueo, por ahora al menos, la cuenta de Esnil Acosta hasta tener una visión clara del problema.

#10 Updated by Daniel Viñar Ulriksen over 7 years ago

Sería bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema).

salieron centenas de miles de correos (ver consola, ver datos de tráfico: 18Gb en un día) a todos lados, en particular cantidad de mails (sin duda de estafa) falsamente provenientes de @fedex
Eso provocó que los servicios comunitarios de RBL y otros por el estilo nos blacklisteen.
En cuanto tengamos el problema bien identificado, tenemos que solicitar el desblacklisteo.

#11 Updated by Daniel Viñar Ulriksen over 7 years ago

  • % Done changed from 20 to 30

A priori, luego de haber identificado la cuenta usurpada, haberla bloqueado y haber borrado todos los mensajes de spam aún en cola, podemos proceder a pedir que la IP de Godel sea des-blacklisteada.

Está blacklisteada en 4 lugares: http://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a164.73.68.19&run=toolpage


  We notice you are on a blacklist.

Checking 164.73.68.19 against 87 known blacklists...
Listed 4 times with 2 timeouts

    Blacklist     Reason    TTL    ResponseTime    
 LISTED    BARRACUDA     164.73.68.19 was listed  Detail    900    156    Ignore
 LISTED    LASHBACK     164.73.68.19 was listed  Detail    300    109    Ignore
 LISTED    PSBL     164.73.68.19 was listed  Detail    2100    140    Ignore
 LISTED    WPBL     164.73.68.19 was listed  Detail    2100    109    Ignore
....

#12 Updated by Daniel Viñar Ulriksen over 7 years ago

Solicito desblacklisteo en barracuda: http://barracudacentral.org/rbl/removal-request

La razón que les digo:

One of our users felt in a scam and gave her password to a spammer. 
We have identified her, blocked the account and erased all illegitimate pending messages. 

Responde:
Your confirmation number is BBR21413276017-13826-20220.

#13 Updated by Daniel Viñar Ulriksen over 7 years ago

Dejo http://blacklist.lashback.com/ para el final: piden aceptar términos de uso y condiciones, y pretenden cobrar si se usa el servicio de delist una segunda vez.

#14 Updated by Daniel Viñar Ulriksen over 7 years ago

http://psbl.org/listing?ip=164.73.68.19 (sólo cobra con una publicidad de Lacalle Pou :)
Da una información interesante, la fecha y hora del último spam observado:

Currently listed in PSBL? Yes.

Spam and removal history for 164.73.68.19 (times in UTC):

2014-10-13 02:49:54.428434    received spamtrap mail

Y el correo-trampa recibido, que confirma en varias cosas la sospecha:

From info@fedex.com Mon Oct 13 02:49:53 2014
Delivery-date: Mon, 13 Oct 2014 02:49:53 -0400
Received: from [164.73.68.19] (helo=godel.csic.edu.uy)
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <info@fedex.com>)
id 1XdZS3-000416-K9
for victim@smtp.example; Mon, 13 Oct 2014 02:49:53 -0400
Received: from localhost (localhost [127.0.0.1])
by godel.csic.edu.uy (Postfix) with ESMTP id 446C23E798A;
Mon, 13 Oct 2014 04:30:50 -0200 (UYST)
Received: from godel.csic.edu.uy ([127.0.0.1])
by localhost (godel.csic.edu.uy [127.0.0.1]) (amavisd-new, port 10032)
with ESMTP id F73mLj1VYLQL; Mon, 13 Oct 2014 04:30:45 -0200 (UYST)
Received: from localhost (localhost [127.0.0.1])
by godel.csic.edu.uy (Postfix) with ESMTP id 5545F3E7807;
Mon, 13 Oct 2014 04:28:11 -0200 (UYST)
Received: from godel.csic.edu.uy ([127.0.0.1])
by localhost (godel.csic.edu.uy [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP id 06HV7xG77hnf; Mon, 13 Oct 2014 04:28:07 -0200 (UYST)
Received: from [100.64.50.109] (unknown [116.203.72.201])
by godel.csic.edu.uy (Postfix) with ESMTPSA id A17013E73B5;
Mon, 13 Oct 2014 04:23:54 -0200 (UYST)
MIME-Version: 1.0
Subject: We Have A Package In Your Name
To: <info@fedex.com>
From: "FedEx Express Delivery Service" <info@fedex.com>
Date: Mon, 13 Oct 2014 11:53:01 +0530
Reply-To: delivery11@outlook.com 

Y el deslisteo es muy claro y simple:

Removal Results

IP address 164.73.68.19 has been removed from the database. It should be gone from the DNSBL list PSBL after the next zone file rebuild, in a couple of minutes.

Note that it will be added back in the next time it sends email to one of our spam traps, so please minimise any abusive behaviour by 164.73.68.19. 

#15 Updated by Daniel Viñar Ulriksen over 7 years ago

psbl también aconseja otra lista RBLs: http://multirbl.valli.org/lookup/164.73.68.19.html

#16 Updated by Daniel Viñar Ulriksen over 7 years ago

En http://www.wpbl.info/ el delisteo es automático con el tiempo...

#17 Updated by Daniel Viñar Ulriksen over 7 years ago

  • Assignee changed from Cielito - adminsys to Andrés Pías

Andrés: siendo un problema en el CUP, te paso esta tarea. Porfa' verlo con Ernesto. Víctor también estubo trabajando en ello.

#18 Updated by Daniel Viñar Ulriksen over 7 years ago

  • Assignee changed from Andrés Pías to Ernesto Mello

En realidad, es a Ernesto que corresponde pasar esta tarea.

#19 Updated by Daniel Viñar Ulriksen over 7 years ago

La evolución de la cantidad de destinatarios de mensajes en Godel, el domingo 12 y el lunes 13 de octubre:
Numero de mensajes en godel

A priori el problema parece contenido. Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola, por ende indicar cuando empexó el blacklisteado. El domingo unos 2 millones, el lunes unos 6 millones.

#20 Updated by Victor Alem over 7 years ago

Daniel Viñar Ulriksen escribió:

En realidad, la cuenta ya estaba bloqueada... ¿Víctor, la bloqueaste vos?

Fui yo.

#21 Updated by Daniel Viñar Ulriksen over 7 years ago

El servidor Godel todavía está blacklisteado en al menos cuatro listas RBL: http://multirbl.valli.org/lookup/164.73.68.19.html
Está en manos de los administradores de este servidor (dominios @cur, @cut, @cure, @cup), en particular del de donde se origión el problema, finalizar su resolución.

#22 Updated by Daniel Viñar Ulriksen over 7 years ago

De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra: supervisar -> Colas de correo, que hay más de 18000 correos trancados, signo de que efectrivamente se está enviando SPAM, y se tiene el servidor blacklisteado.

#24 Updated by Daniel Viñar Ulriksen over 7 years ago

Luego de estos problemas SERIOS de SPAM y blacklisteo, podemos adoptar una política de blacklisteo a nivel del iptables:

En el archivo FWBuilder de firewall para CSIC (ver: Subir_iptables_a_servidores) agregamos un seudo-Host llamado Crackers_y_spammers_godel_dirac
en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel.

En la política de Godel ta está filtrado, luego podemos ver para Dirac. (Y, para el spam, habrá que ver el tema de los MX secundarios).

#25 Updated by Daniel Viñar Ulriksen over 7 years ago

  • % Done changed from 30 to 40

Además de la medida de contenciónb en los fw iptables, limpié los más de 18000 mensajes ilegítimos en colas.

A priori no hay más actividad de spam en el servidor. Dejo al equipoid e admin de godeo:
  • el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreaseña. Conviene una sensibilización individual respecto a las consecuencias de su actuar,
  • hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea.

#26 Updated by Ernesto Mello over 7 years ago

  • % Done changed from 40 to 50

Hice el bloqueo a las 4 cuentas que aparecían como comprometidas: eacosta,bechevarria,marinas y notteg.
Limpié los 40000 mensajes que provenían de ips de la India(115.241.*) y los 6 o 7 mil que implicaban estas cuentas que pongo antes.

Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras, distintas a la anterior(sobre todo a la que pusieron el la trampa :( ).

Revisar si seguimos en alguna blacklist.

#27 Updated by Victor Alem over 7 years ago

Acabo de remover la IP de Godel de acá:
http://psbl.org/listing?ip=164.73.68.19

¡Espero no hayan más!

#28 Updated by Andrés Pías over 7 years ago

Solicité desblacklisteo en:
http://anonmails.de/dnsbl.php?ip=164.73.68.19
http://ipadmin.junkemailfilter.com/remove.php?ip=164.73.68.19
http://www.wpbl.info/cgi-bin/detail.cgi?ip=164.73.68.19

Acá ya la saqué a la ip:
http://dnsbl.inps.de/query.cgi?lang=en&ip=164.73.68.19&quick=1

En el primer link encontre algo interesante para nuestra configuración a poner en práctica:

Usage with Spamassasin

To utilize the DNSBL in SpamAssasin, add the following ruleset to your local configuration file /etc/mail/spamassassin/local.cf.

# spam.dnsbl.anonmails.de
header RCVD_IN_ANONMAILS        eval:check_rbl('anonmails-lastexternal', 'spam.dnsbl.anonmails.de.')
describe RCVD_IN_ANONMAILS      Relay is listed in spam.dnsbl.anonmails.de
tflags RCVD_IN_ANONMAILS        net
score RCVD_IN_ANONMAILS         3.0

#29 Updated by Daniel Viñar Ulriksen over 7 years ago

OjO: siguen habiendo mails reales de personas a personas que siguen "deferred" en godel. Ver específicamente problemas con Yahoo: #3113#note-3

Tenemos algunos rechazos de yahoo, nos indican la dirección: http://postmaster.yahoo.com/421-ts03.html
Que termina por recomendar leer sus best-practices: https://help.yahoo.com/kb/postmaster/practices-senders-sln3435.html

#30 Updated by Andrés Pías over 7 years ago

Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams:

Estuve mirando estos links:
http://wiki.zimbra.com/wiki/SpamAssassin_Customizations
https://www.jorgedelacruz.es/2014/05/12/zimbra-anti-spam/

Agregué en los blacklists a magisterial para ver si dejamos de recibir de esa dirección:

root@godel:~# su – zimbra
zimbra@godel:~/conf/sa$ nano salocal.cf
blacklist_from managerial@managerial.uy

Después se reinician estos servicios:

zimbra@godel:~/conf/sa$ zmmtactl restart && zmamavisdctl stop &&
> zmamavisdctl start

Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura. Las configuré así:


zimbra@godel:~$ zmprov mcf +zimbraMtaRestriction "reject_rbl_client b.barracuracentral.org" 
zimbra@godel:~$ zmprov mcf +zimbraMtaRestriction "reject_rbl_client zen.spamhaus.org" 
zimbra@godel:~$ zmprov mcf +zimbraMtaRestriction "reject_rhsbl_client dbl.spamhaus.org" 

#31 Updated by Daniel Viñar Ulriksen over 7 years ago

  • Assignee changed from Ernesto Mello to Cielito - Coord. regional

Configuré en Dirac las RBL y otras *BL como indicado en esta wiki de zimbra

Extraño: en dirac las configuraciones de "Comprobaciones de DNS" estaban de-seleccionadas. Pensaba haberlas activado.

#32 Updated by Daniel Viñar Ulriksen over 7 years ago

Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro:

grep deferred /var/log/zimbra.log | less

Hice una solicitud de deslisteo en yahoo, viendo los códigos de error : http://help.yahoo.com/l/us/yahoo/mail/postmaster/bulkv2.html
Y otra en: http://www.mail-abuse.com/cgi-bin/lookup?ip_address=164.73.68.19;

#33 Updated by Daniel Viñar Ulriksen over 7 years ago

Recibí:

------- Mensaje original --------
Asunto:     [MAPS #729232] (rbl) WWW remove for 164.73.68.19
Fecha:     Mon, 27 Oct 2014 19:02:47 -0700 (PDT)
De:     Franklynn Uy via RT <rbl@mail-abuse.org>

Hello,

Thank you for contacting Trend Micro about this IP address 164.73.68.19 on the RBL. This IP was listed because we have seen spam activities from it. We have probated (temporarily remove) this IP address from RBL. Please note that if we receive spam from this IP address in any given time again, it will automatically get re-listed on RBL without further notice.

Please allow up to 24 hours for this change to reach all Trend Micro customers.

===
Kind regards,
Trend Micro Inc.
Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

#34 Updated by Daniel Viñar Ulriksen over 7 years ago

Respecto a personalización de SpamAssassin, también está esta página de la comunidad: http://wiki.zimbra.com/wiki/Improving_Anti-spam_system

En dirac, pongo el blacklisting de los spamers de Uruguay (managerial.uy, mkt.uy, etc)

#35 Updated by Daniel Viñar Ulriksen over 7 years ago

La evolucuión de la cantidad de mensajes en Godel:

Cantidad de mensajes en godel

#36 Updated by Andrés Pías over 7 years ago

Creé un script en el servidor godel /opt/zimbra/find_redirec.sh para averiguar el listado de direcciones que tienen reenvíos en Zimbra.

Tiene una línea dentro que indica el dominio desde donde se van a sacar (@cup.edu.uy, @cure.edu.uy). Podría continuar mejorando el script para que el parámetro pueda ser pasado desde línea de comando...

Ajunto el listado de mails con reenvíos en el CUP. Encontré dos reenvíos de Esnil y Echevarria a la direccion . Ya los desactivé, por eso, entiendo no les estaba llegando copia local de los mails, o sea, la config estaba como muestra la imágen:
reenvío a dirección externa esnil

Ya quité estos reenvíos.

#37 Updated by Daniel Viñar Ulriksen over 7 years ago

Solicito el deslisteo de Microsoft: https://support.msn.com/eform.aspx?productKey=edfsmsbl2&ct=eformts&scrx=1
(encontrado en un foro)

#38 Updated by Daniel Viñar Ulriksen over 7 years ago

Creé un script en el servidor godel /opt/zimbra/find_redirec.sh

Ví tu chat y la referencia. gracias. Pero en el servidor no lo encuentro...

#39 Updated by Daniel Viñar Ulriksen over 7 years ago

Outlook.com responde, pero por ahora, sigue en error:

-------- Mensaje reenviado --------
Asunto:     Informe sobre problema de entrega a Outlook.com, SRX1267437116ID
Fecha:     Tue, 28 Oct 2014 19:02:19 +0000
De:     WINLV.EDFS.WW.00.ES.MSF.RMD.TS.T01.SPT.00.EM@css.one.microsoft.com

Estimado/a :

Tenga en cuenta que su número de vale aparece en la línea del asunto de este mensaje.

164.73.68.19/32
164.73.68.8/32

Nota: Los errores son poco probables, pero en caso de que se indique uno, reenvíe la dirección IP o el intervalo de direcciones IP en concreto.

Gracias.

Servicio de soporte de entrega de Outlook.com

No responda a este mensaje, ya que procede de un buzón de correo desatendido. Si responde a este correo electrónico, el mensaje no se atenderá ni se reenviará. Este servicio se usa únicamente para mensajes de correo electrónico salientes y no para responder consultas.

#40 Updated by Daniel Viñar Ulriksen over 7 years ago

El 28/10/14 17:34, escribió:

Asunto: Informe sobre problema de entrega a Outlook.com, SRX1267437116ID

Estimado/a Daniel Viñar:

Hemos terminado de revisar las direcciones IP que nos ha enviado. En la siguiente tabla encontrará los resultados de nuestra investigación.

No cumple los requisitos para ser desbloqueada
164.73.68.19/32; 164.73.68.8/32
Nuestra investigación ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas.

Asegúrese de que sus emails cumplen con las directivas, procedimientos y directrices de Outlook.com disponibles en el siguiente enlace: http://mail.live.com/mail/policies.aspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema, responda a este mensaje con una descripción detallada del mismo, incluyendo los mensajes de error que recibe, y un agente se pondrá en contacto con usted.

Independientemente del estado de entrega, Outlook.com recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en el tráfico de Outlook.com a las IPs remitentes, a la reputación de la IP remitente con Outlook.com y a las tasas de quejas de los usuarios de Outlook.com.

El Junk Email Reporting Program (JMRP, Programa de informes sobre correo no deseado). Cuando un usuario de Outlook.com marca un email como “no deseado”, los remitentes que forman parte de este programa obtienen una copia del mensaje, que es reenviado a la dirección email que elijan. Esto les permite ver qué mensajes están siendo marcados como no deseados e identificar mensajes que no desean mandar. Para unirse al programa siga el siguiente enlace: http://support.msn.com/eform.aspx?productKey=edfsjmrpp&page=support_home_options_form_byemail&ct=eformts

El programa Smart Network Data Services (SNDS). Este programa le permite controlar la “salud” y la reputación de sus IPs registradas al proporcionar datos sobre el tráfico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs. Para inscribirse siga el siguiente enlace: http://postmaster.live.com/snds/.

No existe una única solución para mantener o mejorar la buena reputación de una IP, pero estos programas le ayudan a gestionar de manera proactiva su ecosistema de correo electrónico para asegurar una mejor entrega a usuarios de Outlook.com

Atentamente,

Outlook.com Deliverability Support

#41 Updated by Andrés Pías over 7 years ago

Aviso por las dudas que en la tarea #3113 tambien solicité desblacklisteo

#42 Updated by Daniel Viñar Ulriksen over 7 years ago

Respuesta a Hotmail:

He leido las recomendaciones que nos indican y a priori las respetamos.

Al intentar escribir a su servicio, mi MTA obtiene la siguiente respuesta:
El 28/10/14 17:24, Mail Delivery System escribió:

<>: host mx3.hotmail.com[65.55.92.168] said: 550 SC-001
(SNT004-MC3F3) Unfortunately, messages from 164.73.68.19 weren't sent.
Please contact your Internet service provider since part of their network
is on our block list. You can also refer your provider to
http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL
FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar:

Oct 28 09:10:50 godel postfix/smtp[3726]: B47E3900239: to=<haiti@outlook.es>, orig_to=<pablo.rosano@cut.edu.uy>, relay=127.0.0.1[127.0.0.1]:10024, delay=2, delays=0.14/0/0/1.8, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6EB7090023B)

Oct 28 09:10:50 godel postfix/smtp[3718]: 6FCB5900ABC: to=<gabynog1@hotmail.com>, orig_to=<gabriela.nogueira@cut.edu.uy>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.6, delays=0.33/0/0/1.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6E6BC900232)
Oct 28 09:10:50 godel postfix/qmgr[22743]: 6FCB5900ABC: removed

Oct 28 09:10:51 godel postfix/smtp[3745]: 72A27900ABF: to=<astuhldreher@hotmail.com>, relay=mx3.hotmail.com[65.55.92.184]:25, delay=0.97, delays=0.19/0.1/0.51/0.17, dsn=5.0.0, status=bounced (host mx3.hotmail.com[65.55.92.184] said: 550 SC-001 (SNT004-MC4F48) Unfortunately, messages from 164.73.68.19 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command))

Oct 28 09:10:51 godel postfix/smtp[3747]: 92EE0900AC5: to=<haiti@outlook.es>, relay=mx2.hotmail.com[65.55.92.168]:25, delay=1.3, delays=0.07/0.11/0.91/0.17, dsn=5.0.0, status=bounced (host mx2.hotmail.com[65.55.92.168] said: 550 SC-001 (SNT004-MC3F45) Unfortunately, messages from 164.73.68.19 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command))
Oct 28 09:10:51 godel postfix/smtp[3747]: 92EE0900AC5: lost connection with mx2.hotmail.com[65.55.92.168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro) re-dirigiéndolo enteramente a su casilla personal en su servicio.

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta, pero el problema a sido contenido, como lo demuestran los grafos qu hemos publicado acá:

https://proyectos.interior.edu.uy/issues/3522#note-35

Como puede observar, nuestro servidor de correo 164.73.68.19/32 ya no está listada en niguna RBL.

Le agradecería tenga a bien investigar el caso y cesar de considerar relevar la reputación de nuestros servidores de correos y pasar a aceptar sus mensajes.

De lo contrario, le pido nos indique con mayor precisión cuales son las características que Uds consideran deben ser modificadas.

#43 Updated by Daniel Viñar Ulriksen over 7 years ago

El 29/10/14 01:01, Hotmail Sender Support escribió:

our IP (164.73.68.8/32) was blocked by Outlook.com because Outlook.com customers have reported email from this IP as unwanted. I have conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem. This process may take 24 - 48 hours to replicate completely throughout our system.

El 29/10/14 01:36, Daniel Viñar Ulriksen escribió:

El 29/10/14 01:12, Hotmail Sender Support escribió:

Hello Daniel,

In order to proceed with our investigation of the IP 164.73.68.19/32, please provide the following details as you have mentioned that there was a recent compromise that took place on your system.

Date(s) this compromise occurred:

by October 13th

Brief description of the compromise:

three user account's passwords were compromised, porblably after have answered to a scam. Our server, therefore, started accepting relaying the spam the frauders sent.

Brief description of what was done to resolve the compromise:

Identifiyng the fault accounts, bloc them, erase the forwarding configuration they have put. and monitoring closely the server.

And we started working on SPF and DKIM.

#44 Updated by Andrés Pías over 7 years ago

Creé un script en el servidor godel /opt/zimbra/find_redirec.sh

Ví tu chat y la referencia. gracias. Pero en el servidor no lo encuentro...

El archivo está en godel:

apias@godel:/opt/zimbra$ ls -altr find_redirec.sh 
-rwxr-xr-x 1 zimbra root 262 oct 28 14:20 find_redirec.sh

#45 Updated by Daniel Viñar Ulriksen over 7 years ago

  • % Done changed from 50 to 60

El 29/10/14 15:32, Hotmail Sender Support escribió:

Hello,

My name is Smita and I work with the Outlook.com Deliverability Support Team.

Your IP (164.73.68.19) was blocked by Outlook.com because Outlook.com customers have reported email from this IP as unwanted. I have conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem. This process may take 24 - 48 hours to replicate completely throughout our system.

#46 Updated by Andrés Pías over 7 years ago

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam:

http://mysoporte.blogspot.com/2013/10/mejorando-el-filtrado-del-spamassassin.html
https://www.jorgedelacruz.es/2014/05/12/zimbra-anti-spam/

sudo apt-get install razor
sudo apt-get install pyzor

root@zimbra:~# su - zimbra
zimbra@zimbra:~$ pyzor –homedir /opt/zimbra/data/amavisd/.pyzor discover

zimbra@zimbra:~$ razor-admin -home=/opt/zimbra/data/amavisd/.razor --create
zimbra@zimbra:~$ razor-admin -home=/opt/zimbra/data/amavisd/.razor --discover
zimbra@zimbra:~$ razor-admin -home=/opt/zimbra/data/amavisd/.razor -register -user apias@cup.edu.uy

zimbra@zimbra:~$ nano /opt/zimbra/conf/sa/sausers.cf
# pyzor
use_pyzor 1
pyzor_path /usr/bin/pyzor
pyzor_timeout 20
# razor
use_razor2 1

#47 Updated by Daniel Viñar Ulriksen over 7 years ago

Faltaría deslistear:

22     164.73.68.19     Unsubscribe Blacklist UBL     ubl.unsubscore.com     Listed
      Query:      19.68.73.164.ubl.unsubscore.com
      A Record:     127.0.0.2
      TTL:     600
      TXT:     Sender has sent to LashBack Unsubscribe Probe accounts
    Visit http://blacklist.lashback.com for more information

... si alguien quiere poner su mail y aceptar las condiciones ;)

#48 Updated by Daniel Viñar Ulriksen over 7 years ago

  • Assignee changed from Cielito - Coord. regional to Víctor Viana

#50 Updated by Andrés Pías over 7 years ago

Estaba mirando los mails con reenvíos desde el cut y veo 2 cosas que me parecieron extrañas. Estaría bien comprobar si esto es correcto:

#51 Updated by Daniel Viñar Ulriksen over 7 years ago

Tentativa de deslistar de http://www.dnsblchile.org/eliminar.html

tuve que solicitar un registro sí o sí con la casilla , me respondió que será tratado en 5 días hábiles.

#52 Updated by Víctor Viana over 7 years ago

Removido de la listas de

#53 Updated by Daniel Viñar Ulriksen over 7 years ago

Hay 113000 correos en cola (nuevamente un record...) es decir que sin duda hay nuevas cuentas usurpadas. ¡¡¡tenemos que organizar nuestra comunicación!!!

Veo múltiples IPs de origen 100.64.X.Y, que a priori no son IPs legítimas en el espacio de direccionamiento público:
http://whois.arin.net/rest/net/NET-100-64-0-0-1
https://tools.ietf.org/html/rfc6598

Suprimo los correos correspondientes y, en el firewall, agrego el 100.64.0.0/10 (por ahora a mano, luego vemos en fwbuilder, y conviene crear un grupo "IP marcianas" que se rechaza sistemáticamente)

#54 Updated by Daniel Viñar Ulriksen over 7 years ago

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones, para identificar las que puedan haber sido usurpadas (se nota en la redirección que tiene). En notas privadas reporto aquí las cuentas usurpadas.

#56 Updated by Víctor Viana over 7 years ago

Andrés Pías escribió:

Estaba mirando los mails con reenvíos desde el cut y veo 2 cosas que me parecieron extrañas. Estaría bien comprobar si esto es correcto:

Es correcto.

#58 Updated by Victor Alem over 7 years ago

Vemos en este enlace un script que nos puede ser útil.

Corremos este script que nos proporcionaron colegas del MIDES:

#!/bin/bash
# Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
# Si un usuario supera el maximo establecido, se bloquea la cuenta y se envia un mail al administrador.

logfile="/var/log/zimbra.log" 
maxmails="10" 
mydomain="<mi dominio>" 
support="inrormatica@$mydomain" 
ano=`date +%Y`
mes=`date +%m`
dia=`date +%d`
hora=`date +%H:%M`

echo "Control de spam iniciado el $dia/$mes/$ano a la hora $hora" 

# Se crea una lista con las cuentas activas
su - zimbra -c "/opt/zimbra/bin/zmaccts" | grep "@" | grep active | awk '{print $1}' | cut -f -1 -d"@" > /tmp/active_accounts

zgrep -i "auth ok" $logfile | sed 's/ / /g' | awk -F"[ :]+" '{print $3":"$4,$9;}' | uniq -c | sort -n | \

while read line
do
count=`echo ${line} | cut -d' ' -f 1`
userid=`echo ${line} | cut -d' ' -f 3 | cut -f -1 -d"@"`
timestamp=`echo ${line} | cut -d' ' -f 2`
active=`grep "$userid" /tmp/active_accounts`
bloqueada=`grep "$userid" /root/cuentas_bloqueadas | uniq`
        if [ "$count" -gt "$maxmails" ] && [ "$active" == "$userid" ] && [ "$userid" != "$bloqueada" ]; then
            echo "$userid" >> /root/cuentas_bloqueadas
            echo "La tasa maxima de email's ha sido exedida por $userid@$mydomain la cuenta fue bloqueada" 
            su - zimbra -c "/opt/zimbra/bin/zmprov ma $userid zimbraAccountStatus locked" 

            # Preparo texto para el mensaje
            echo "Subject: La cuenta $userid fue bloqueada por excesivas conexiones" > /tmp/mensaje
            echo "La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a las">> /tmp/mensaje
            echo "$timestamp. por favor pida que el usuario cambie su contrasena." >> /tmp/mensaje

            # Envio el correo al administrador
            cat /tmp/mensaje | /opt/zimbra/postfix/sbin/sendmail $support
            rm -f /tmp/mensaje

            # Actualizo la lista de cuentas activas
            su - zimbra -c "/opt/zimbra/bin/zmaccts" | grep "@" | grep active | awk '{print $1}' > /tmp/active_accounts
            rm -f /tmp/active_accounts
        fi
done

echo "Control de spam finalizado el $dia/$mes/$ano a la hora $hora" 
exit 0

#59 Updated by Victor Alem over 7 years ago

Corremos este comando para verificar las cuentas con redirección:

zmaccts | grep "@" | awk '{print $1}' | while read line; do echo $line; zmprov ga $line | grep zimbraPrefMailForwardingAddress; done;

#60 Updated by Daniel Viñar Ulriksen over 7 years ago

OjO: surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts. Da error y en el shell sale:

channel 3: open failed: connect failed: Connection refused

#61 Updated by Daniel Viñar Ulriksen over 7 years ago

Ayer, al final, bloqueamos el puerto 25 en entrada y en salida con iptables.

hoy de mañana las colas ya estaban en miles, y fue posible terminar de limpiarla. quedan 42 correos que parecen legítimos.

#62 Updated by Daniel Viñar Ulriksen over 7 years ago

entramos con una persona del cut a su casilla, y encontramos 2 correos fraudulentos ===> en cuanto re-establecemos el servicio (o antes) hay que comunicar claramente a los usuarios, para disminuir el riesgo que otros caigan en la misma trampa.

#63 Updated by Daniel Viñar Ulriksen over 7 years ago

Estamos blacklisteados hasta el 14/11 en http://www.uceprotect.net/, pretenden tener un express delist a US$ 108 (¿¿quién usa esta RBL?? ¿¡estafa!? ---> no entrammos en esta y primero vemos todo el resto.

Ese también nos bloquea en http://www.justspam.org/check-an-ip?ip=164.73.68.19

Pedí una cuenta en http://www.sorbs.net/

En http://www.spamcannibal.org/cannibal.cgi?page=lookup&lookup=164.73.68.19 vemos los estragos que nos son imputables:

Click for WhoisIP: 164.73.68.19  UY    
     godel.csic.edu.uy
         Uruguay         

Return-Path: <info@loandesk.com>
Received: from mail2.bizsystems.net (ns2.bizsystems.net 
[50.0.25.192])
    by bzs.org (8.11.4/8.11.4) with ESMTP id sA6IGkI12765
    for <michael@bizsystems.com>; Thu, 6 Nov 2014 10:16:46 -0800
Received: from godel.csic.edu.uy (godel.csic.edu.uy [164.73.68.19])
    by mail2.bizsystems.net (8.14.3/8.14.3) with ESMTP id sA6IGiJg009017
    for <michael@bizsystems.com>; Thu, 6 Nov 2014 10:16:45 -0800
Received: from localhost (localhost [127.0.0.1])
    by godel.csic.edu.uy (Postfix) with ESMTP id 3F32B902F66;
    Thu,  6 Nov 2014 16:07:55 -0200 (UYST)
Received: from godel.csic.edu.uy ([127.0.0.1])
    by localhost (godel.csic.edu.uy [127.0.0.1]) (amavisd-new, port 
10032)
    with ESMTP id jkqjfxl1I4pA; Thu,  6 Nov 2014 16:07:53 -0200 (UYST)
Received: from localhost (localhost [127.0.0.1])
    by godel.csic.edu.uy (Postfix) with ESMTP id 45093902633;
    Thu,  6 Nov 2014 16:07:26 -0200 (UYST)
X-Virus-Scanned: amavisd-new at correo.cure.edu.uy
Received: from godel.csic.edu.uy ([127.0.0.1])
    by localhost (godel.csic.edu.uy [127.0.0.1]) (amavisd-new, port 
10026)
    with ESMTP id LNtU38RkBSaQ; Thu,  6 Nov 2014 16:07:25 -0200 (UYST)
Received: from [100.64.30.233] (unknown [116.203.72.123])
    by godel.csic.edu.uy (Postfix) with ESMTPSA id 6226B90423D;
    Thu,  6 Nov 2014 15:55:46 -0200 (UYST)
Content-Type: text/plain; charset="iso-8859-1" 
MIME-Version: 1.0
Content-Description: Mail message body
Subject: 3% Loan Offer Apply Today Before Offer Exires
To: Recipients <info@loandesk.com>
From: "Fastest Loan Approval" <info@loandesk.com>
Date: Thu, 06 Nov 2014 23:25:31 +0530
Reply-To: hijabdesk@foxmail.com
Message-Id: <20141106175547.6226B90423D@godel.csic.edu.uy>
X-Scanned-By: MIMEDefang 2.67 on 50.0.25.192
Content-Transfer-Encoding: 8bit
X-MIME-Autoconverted: from quoted-printable to 8bit by bzs.org id 
sA6IGkI12765
X-EsetId: 0DB22A27B4DF393056F174
X-PMFLAGS: 34078848 0 1 P7EQCVHA.CNM                        

We can help you with a genuine loan to meet your needs.
Do you need a personal or business loan without stress and quick 
approval?
Do you need an urgent loan today? No Credit Checks

* LOAN APPROVAL IN 60MINS !!
* GUARANTEED SAME DAY TRANSFER !! 
* 100% APPROVAL RATE !!

#64 Updated by Daniel Viñar Ulriksen over 7 years ago

Incluso con cuenta SORBS no me quiso deslistear. Puse un ticket y les escribí:

We are a University and provide email to teachers and workers with this server. 

We had a few compromised accounts that are now identified and blocked. Queues in the server have been cleaned also. 

We will send immediately an awareness message about phishing to all users.

#65 Updated by Daniel Viñar Ulriksen over 7 years ago

  • Assignee changed from Víctor Viana to Cielito - Coord. regional

Deslisteo solicitado acá con mismo texto: http://www.srntools.com/srn/164.73.68.19

Acá http://ipadmin.junkemailfilter.com/remove.php estamos en lista amarilla, lo que dice que está bien.

Conviene pensar el tema de algunas casillas estándar:

DNSBL Informationallist Test
542     godel.csic.edu.uy     Abuse.net     contacts.abuse.net     Listed
      Comment: abuse.net recommended contact addresses.
This is NOT a blacklist or whitelist, and does not block any mail.
      Query:     godel.csic.edu.uy.contacts.abuse.net (...)
      TXT:    abuse@godel.csic.edu.uy
    abuse@csic.edu.uy

628     164.73.68.19     abusix.org Abuse Contact DB     abuse-contacts.abusix.org     Listed
      Comment: This is NOT a blacklist or whitelist, and does not block any mail.
      Query:      19.68.73.164.abuse-contacts.abusix.org (...)
      TXT:     security@rau.edu.uy

para lo cual abro la tarea #3655.

#66 Updated by Daniel Viñar Ulriksen over 7 years ago

  • File Godel_num_mensajes2014-11-08_ 13-43-07.png added

Volvimos a mandar 15 millones de spams...

Gráficos número de mensajes enviados de godel

#67 Updated by Daniel Viñar Ulriksen over 7 years ago

  • File deleted (Godel_num_mensajes2014-11-08_ 13-43-07.png)

#69 Updated by Daniel Viñar Ulriksen over 7 years ago

En los logs también vemos:

Nov  8 13:51:45 godel postfix/smtp[28315]: 96292911F4C: to=<******@mgap.gub.uy>, relay=mail.mgap.gub.uy[190.64.28.104]:25, delay=85550, 
delays=85550/0.01/0.84/0, dsn=4.7.1, status=deferred (host mail.mgap.gub.uy[190.64.28.104] refused to talk to me: 450 4.7.1 Service temporarily
unavailable; Client host [164.73.68.19] blocked using Trend Micro Email Reputation Service.

Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=164.73.68.19; Mail from 164.73.68.19 deferred using Trend Micro Email Reputation database. 

Please see <http://www.mail-abuse.com/cgi-bin/lookup?164.73.68.19>)

#70 Updated by Daniel Viñar Ulriksen over 7 years ago

  • % Done changed from 60 to 70

El trendmicro fue fácil de solicitar:

En la web responde:

Rating Information
164.73.68.19 has been removed from the spam list.

Please be aware that this IP address may be blocked again if it sends more spam.
To prevent abuse, we limit the number of exception requests.

pero todavía los correos siguen siendo bloqueados. esperemos.

los correos a priori pasan a hotmail y gmail. Hay que verificar yahoo.

#71 Updated by Daniel Viñar Ulriksen almost 5 years ago

  • Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo, ahora resuelto.

#72 Updated by Daniel Viñar Ulriksen over 4 years ago

  • Status changed from Resuelta to Cerrada

#73 Updated by Victor Alem about 1 year ago

  • Status changed from Cerrada to En curso

Reabro esta tarea para continuar con las configuraciones de SpamAssassin de zimbra según esta wiki. Estoy viendo que SpamAssassin no está del todo bien configurado para mitigar el SPAM. Voy viendo para entender mejor el ecosistema de amavis + spamassassin.

#74 Updated by Victor Alem about 1 year ago

La primer acción es incrementar el nivel de log del amavis, para identificar mejor el spam:

zmprov mcf zimbraAmavisLogLevel 2

#75 Updated by Victor Alem about 1 year ago

Lo siguiente que propone esta wiki es la utilización de dos softwares: Ryzor y Pyzor, ambas herramientas libres para le detección y bloqueo del SPAM. Voy a probar la instalación y configuración de estas herramientas en el zimbra de pruebas que tenemos en el host mequieromatar.

#76 Updated by Victor Alem about 1 year ago

Me encuentro con reglas de spamassassin para los plugins de Razor y Pyzor en Godel, sin embargo no están instalados estos programas.

#77 Updated by Victor Alem about 1 year ago

Encuentro esto en los archivos de configuración de spamassasin, parece prometedor....

#78 Updated by Victor Alem about 1 year ago

Apliqué en el servidor zimbra de pruebas los puntos 3.3, 4 y 5 de la wiki que venimos referenciando y todo anduvo bien. El único error es con el sub comando discover de pyzor. Pero encontramos que han removido esta opción del comando. Por lo que si no se especifica un servidor, se usa el por defecto (public.pyzor.org).

#79 Updated by Victor Alem about 1 year ago

Los pasos a realizar:

  • La primer acción es, como dije antes, incrementar el nivel de log del amavis, para identificar mejor el spam:
    $ zmprov mcf zimbraAmavisLogLevel 2
    
  • instalación de Pyzor y Razor:
    $ apt update && apt install razor pyzor
    
  • Crear el archivo data/spamassassin/localrules/sauser.cf y agregar:
    # pyzor
    use_pyzor 1
    pyzor_path /usr/bin/pyzor
    # DNS lookups for pyzor can time out easily.  Set the following line IF you want to give pyzor up to 20 seconds to respond
    # may slow down email delivery
    pyzor_timeout 20
    
  • Configurar Razor con los siguientes comandos:
    $ razor-admin -home=/opt/zimbra/data/amavisd/.razor -create
    $ razor-admin -home=/opt/zimbra/data/amavisd/.razor -discover
    $ razor-admin -home=/opt/zimbra/data/amavisd/.razor -register -user postmaster@interior.edu.uy
    
  • y también agregar en data/spamassassin/localrules/sauser.cf:
    # razor
    use_razor2 1
    
  • Configuramos el score en data/spamassassin/localrules/sauser.cf:
    score URIBL_BLACK 3.250
    score RAZOR2_CHECK 3.250
    score PYZOR_CHECK 3.250
    score BAYES_99 4.000
    score BAYES_60 2.250
    score BAYES_50 1.500
    score BAYES_00 -0.500
    score RP_MATCHES_RCVD -0.000
    
  • Reiniciamos los servicios correspondientes:
    $ zmantispamctl restart
    $ zmmtactl restart
    
  • Finalmente, agregamos las reglas de Kevin McGrail:
    cd /opt/zimbra/data/spamassassin/localrules
    wget -N https://www.pccc.com/downloads/SpamAssassin/contrib/KAM.cf -O sakam.cf
    zmamavisdctl restart
    

Y estaría listo!!!

#80 Updated by Andrés Pías about 1 year ago

Victor Alem escribió:

Los pasos a realizar:

  • La primer acción es, como dije antes, incrementar el nivel de log del amavis, para identificar mejor el spam:
    [...]
  • instalación de Pyzor y Razor:
    [...]
  • Crear el archivo data/spamassassine/localrules/sauser.cf y agregar:
    [...]

Ojo un tema de sintaxis, es spamassassin. Por otro lado en la documentación de Zimbra dice configurar todo esto en /opt/zimbra/conf/sa/sausers.cf. Funciona esta configuración en cualquiera de las dos ubicaciones?. Recuerdo haber seguido esta guía de configuración razor/pyzor, al menos se instaló pyzor (si mal no recuerdo). El que no esté instalado en Godel se debe a que migramos el servidor y no lo volvimos a instalar en la vm de la nueva plataforma.

#81 Updated by Victor Alem about 1 year ago

Hola Andrés, si te fijas en la wiki de referencia, al principio hay una nota al respecto para versiones posteriores a la 8.5:

ZCS 8.5 and later

For ZCS 8.5, SpamAssassin layout has been corrected as per the SpamAssassin developers. sauser.cf is migrated to the /opt/zimbra/data/spamassassin/localrules directory. This is the supported location for doing customizations of SpamAssassin for ZCS 8.5 and later. 

Gracias por el laburo de review.

Also available in: Atom PDF